ИЗВЕСТИЯ ЮФУ. ТЕХНИЧЕСКИЕ НАУКИ IZVESTIYA Sfedu

¹12, äåêàáðü 2013 ISSN 1999-9429

Þæíûé Òåõíîëîãè÷åñêèé èíñòèòóò ôåäåðàëüíûé Þæíîãî ôåäåðàëüíîãî óíèâåðñèòåò óíèâåðñèòåòà â ã. Òàãàíðîãå È Êîíöåïòóàëüíûå âîïðîñû èíôîðìàöèîííîé Ç áåçîïàñíîñòè Â Áåçîïàñíîñòü èíôîðìàöèîííûõ ñèñòåì è ñåòåé Çàùèòà îáúåêòîâ èíôîðìàòèçàöèè

Å Ìåòîäû è ñðåäñòâà êðèïòîãðàôèè è ñòåãàíîãðàôèè

Ñ Ïðèêëàäíûå âîïðîñû èíôîðìàöèîííîé Ò áåçîïàñíîñòè Òåìàòè÷åñêèé âûïóñê È Èíôîðìàöèîííàÿ áåçîïàñíîñòü ß ÞÔÓ ÒÅÕÍÈ×ÅÑÊÈÅ ÍÀÓÊÈ ИЗВЕСТИЯ ЮФУ. ТЕХНИЧЕСКИЕ НАУКИ IZVESTIYA SFedU. ENGINEERING SCIENCES Свидетельство о регистрации средства массовой информации ПИ № ФС77-28889 от 12.07.2007 Научно-технический и прикладной журнал Издается с 1995 года Подписной индекс 41970 № 12 (149). 2013 г. Тематический выпуск ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Журнал включен в «Перечень российских рецензируемых научных журналов, в которых должны быть опубликованы основные научные результаты диссертаций на соискание ученых степеней доктора и кандидата наук». Журнал включен в Реферативный журнал и Базы данных ВИНИТИ. Сведения о журнале ежегодно публикуются в международной справочной системе по периодическим и продолжающимся изданиям «Ulrich`s Periodicals Directory». Главная редакционная коллегия журнала

Каляев И.А. (главный редактор); Курейчик В.М. (зам. главного редактора); Моськин В.Н. (ученый секретарь); Абрамов С.М.; Агеев О.А.; Бабенко Л.К.; Вагин В.Н.; Веселов Г.Е.; Гонкальвес Ж.; Захаревич В.Г.; Колесников А.А.; Коноплев Б.Г.; Курейчик В.В.; Левин И.И.; Макаревич О.Б.; Маркович И.И.; Микрин Е.А.; Никитов С.А.; Обуховец В.А.; Осипов Г.С.; Панатов Г.С.; Панич А.Е.; Петров В.В.; Петровский А.Б.; Пшихопов В.Х.; Редько В.Г.; Румянцев К.Е.; Саламах M.; Солдатов А.В.; Стемпковский А.Л.; Сухинов А.И.; Сысоев В.В.; Тарасов С.П.; Фрадков А.Л.; Хашемипур М.; Чаплыгин Ю.А.; Чередниченко Д.И.; Четверушкин Б.Н.; Чичков Б.Н. Редакционная коллегия выпуска Макаревич О.Б. (редактор выпуска), Брюхомицкий Ю.А. (зам. редактора выпуска). Учредитель Южный федеральный университет. Издатель Технологический институт Южного федерального университета в г. Таганроге. Ответственный за выпуск Брюхомицкий Ю.А. Главный редактор журнала Ярошевич Н.В. Редактор Ярошевич Н.В. Оригинал-макет выполнен Ярошевич Н.В. ЛР № 020565 от 23.06.1997 г. Подписано к печати 5.12.2013 г. Формат 70108 1 . Бумага офсетная. 8 Офсетная печать. Усл. печ. л. – 32,8. Уч.-изд. л. – 32,5. Заказ № . Тираж 250 экз. Адрес издателя: 347928, г. Таганрог, ГСП 17А, Некрасовский, 44. Адрес типографии: 347928, г. Таганрог, ГСП 17А, Энгельса, 1. Адрес редколлегии: 347928, г. Таганрог, ГСП 17А, пер. Некрасовский, 44, ТТИ ЮФУ, ОНТИ, телефон/факс: +7 8634 371-071. e-mail: [email protected], http://izv-tn.tti.sfedu.ru/. ISSN 1999-9429 © Технологический институт Южного федерального университета в г. Таганроге, 2013

1 СОДЕРЖАНИЕ РАЗДЕЛ I. КОНЦЕПТУАЛЬНЫЕ ВОПРОСЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Ю.А. Брюхомицкий, О.Б. Макаревич ОБЗОР ИССЛЕДОВАНИЙ И РАЗРАБОТОК ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ (по материалам докладов ХIII Международной научно- практической конференции «Информационная безопасность-2013») ...... 7 А.М. Цыбулин, М.Н. Свищева СИСТЕМНЫЙ ПОДХОД К ПОВЫШЕНИЮ ЭФФЕКТИВНОСТИ БОРЬБЫ С ИНСАЙДЕРСКОЙ ДЕЯТЕЛЬНОСТЬЮ ПОЛЬЗОВАТЕЛЕЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ ОРГАНИЗАЦИИ ...... 25 П.М. Иванов, О.Б. Макаревич, З.В. Нагоев АВТОМАТИЧЕСКОЕ ФОРМИРОВАНИЕ КОНТЕКСТА СИТУАЦИЙ В СИСТЕМАХ ОБВОЛАКИВАЮЩЕЙ БЕЗОПАСНОСТИ НА ОСНОВЕ МУЛЬТИАГЕНТНЫХ КОГНИТИВНЫХ АРХИТЕКТУР ...... 33 О.Ю. Пескова, К.Е. Степовая ОСОБЕННОСТИ АНАЛИЗА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОБЛАЧНЫХ СИСТЕМ ...... 39 РАЗДЕЛ II. БЕЗОПАСНОСТЬ ИНФОРМАЦИОННЫХ СИСТЕМ И СЕТЕЙ Е.С. Абрамов, Е.С. Басан РАЗРАБОТКА МОДЕЛИ ЗАЩИЩЕННОЙ КЛАСТЕРНОЙ БЕСПРОВОДНОЙ СЕНСОРНОЙ СЕТИ ...... 48 Р.В. Мещеряков, И.А. Ходашинский, Е.Н. Гусакова ОЦЕНКА ИНФОРМАТИВНОГО ПРИЗНАКОВОГО ПРОСТРАНСТВА ДЛЯ СИСТЕМЫ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ ...... 57 М.Н. Жукова, Н.А. Коромыслов МОДЕЛЬ ОЦЕНКИ ЗАЩИЩЕННОСТИ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ С ПРИМЕНЕНИЕМ АППАРАТА НЕЧЕТКОЙ ЛОГИКИ ...... 63 Ю.А. Брюхомицкий МОДЕЛЬ АДАПТИВНОЙ САМООРГАНИЗУЮЩЕЙСЯ ИСКУССТВЕННОЙ ИММУННОЙ СИСТЕМЫ ДЛЯ РЕШЕНИЯ ЗАДАЧ КОМПЬЮТЕРНОЙ БЕЗОПАСНОСТИ ...... 69 Д.А. Кавчук, Е.П. Тумоян, Г.А. Евстафьев ИНТЕЛЛЕКТУАЛЬНЫЙ ПОДХОД К АНАЛИЗУ РИСКОВ И УЯЗВИМОСТЕЙ ИНФОРМАЦИОННЫХ СИСТЕМ ...... 79 М.А. Кобилев, Е.С. Абрамов РАЗРАБОТКА АЭРОМОБИЛЬНОГО КОМПЛЕКСА ДЛЯ ПРОВЕДЕНИЯ АУДИТА БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ С ВЫСОКОЙ ФИЗИЧЕСКОЙ ЗАЩИЩЁННОСТЬЮ ...... 86 Л.С. Крамаров, Л.К. Бабенко ОБНАРУЖЕНИЕ СЕТЕВЫХ АТАК И ВЫБОР КОНТРМЕР В ОБЛАЧНЫХ СИСТЕМАХ ...... 94 Я.В. Тарасов, О.Б. Макаревич МОДЕЛИРОВАНИЕ И ИССЛЕДОВАНИЕ НИЗКОИНТЕНСИВНЫХ DOS-АТАК НА BGP-ИНФРАСТРУКТУРУ ...... 101 В.Г. Миронова, А.А. Шелупанов АНАЛИЗ РЕЖИМОВ РАЗГРАНИЧЕНИЯ И РАСПРОСТРАНЕНИЯ ПРАВ ДОСТУПОВ НА ОСНОВЕ ДИСКРЕЦИОННОЙ МОДЕЛИ РАЗГРАНИЧЕНИЯ ПРАВ ДОСТУПОВ TAKE-GRANT ...... 111 И.Н. Пащенко, В.И. Васильев РАЗРАБОТКА ТРЕБОВАНИЙ К СИСТЕМЕ ЗАЩИТЫ ИНФОРМАЦИИ В ИНТЕЛЛЕКТУАЛЬНОЙ СЕТИ SMART GRID НА ОСНОВЕ СТАНДАРТОВ ISO/IEC 27001 И 27005 ...... 117

И.Ю. Половко РАЗРАБОТКА ТРЕБОВАНИЙ К СОСТАВУ ХАРАКТЕРИСТИК ДЛЯ СРАВНЕНИЯ СОА ...... 126 А.В. Никишова, А.Е. Чурилина ОБНАРУЖЕНИЕ РАСПРЕДЕЛЕННЫХ АТАК НА ИНФОРМАЦИОННУЮ СИСТЕМУ ПРЕДПРИЯТИЯ ...... 135 А.М. Максимов АНАЛИЗ ОСОБЕННОСТЕЙ ОСУЩЕСТВЛЕНИЯ АТАК НА ВЕБ-СЕРВЕР ПОСРЕДСТВОМ ГЕНЕРАЦИИ ОШИБОЧНЫХ ЗАПРОСОВ ...... 143 А.Г. Богораз, О.Ю. Пескова МЕТОДИКА ТЕСТИРОВАНИЯ И ОЦЕНКИ МЕЖСЕТЕВЫХ ЭКРАНОВ ...... 148 А.А. Бешта АРХИТЕКТУРА ПРОГРАММНОГО КОМПЛЕКСА КОНТРОЛЯ НАД ВНУТРЕННИМ ЗЛОУМЫШЛЕННИКОМ ...... 157 Л.К. Бабенко, А.С. Кириллов МОДЕЛИ ОБРАЗЦОВ ВПО НА ОСНОВЕ ИСПОЛЬЗУЕМЫХ СИСТЕМНЫХ ФУНКЦИЙ И СПОСОБОВ ПОЛУЧЕНИЯ ИХ АДРЕСОВ ...... 163 РАЗДЕЛ III. ЗАЩИТА ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ О.А. Финько, Е.П. Соколовский АЛГОРИТМ ОЦЕНКИ РИСКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СИСТЕМАХ ЗАЩИТЫ ИНФОРМАЦИИ НА ОСНОВЕ ЛОГИКО-ВЕРОЯТНОСТНОГО МЕТОДА И.А. РЯБИНИНА ...... 172 Е.Н. Тищенко, Е.Ю. Шкаранда АЛГОРИТМИЗАЦИЯ ПРОЦЕССА ФОРМИРОВАНИЯ ЧАСТНОЙ МОДЕЛИ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ...... 180 В.С. Аткина МОДЕЛЬ ОЦЕНКИ ЗАЩИЩЕННОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ...... 187 РАЗДЕЛ IV. МЕТОДЫ И СРЕДСТВА КРИПТОГРАФИИ И СТЕГАНОГРАФИИ С.А. Евпак, В.В. Мкртичян О СВЯЗИ ГРАНИЦ ПРИМЕНЕНИЯ СПЕЦИАЛЬНОЙ СХЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ, ОСНОВАННОЙ НА Q-ИЧНЫХ КОДАХ РИДА-МАЛЛЕРА ..... 194 Е.А. Михайлова СИСТЕМА ЗАЩИТЫ МАК-ЭЛИСА В СЛУЧАЙНЫХ СЕТЯХ НА БАЗЕ СЕТЕВОГО КОДА РИДА-СОЛОМОНА ...... 200 В.О. Осипян, Ю.А. Карпенко, А.С. Жук, А.Х. Арутюнян ДИОФАНТОВЫ ТРУДНОСТИ АТАК НА НЕСТАНДАРТНЫЕ РЮКЗАЧНЫЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ ...... 209 Л.К. Бабенко, Е.А. Ищукова ФИНАЛИСТЫ КОНКУРСА SHA-3 И ОСНОВНЫЕ СВЕДЕНИЯ ОБ ИХ АНАЛИЗЕ ...... 216 РАЗДЕЛ V. ПРИКЛАДНЫЕ ВОПРОСЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И.А. Калмыков, О.И. Дагаева, Д.О. Науменко, О.В. Вельц СИСТЕМНЫЙ ПОДХОД К ПРИМЕНЕНИЮ ПСЕВДОСЛУЧАЙНЫХ ФУНКЦИЙ В СИСТЕМАХ ЗАЩИТЫ ИНФОРМАЦИИ ...... 228 И.А. Калмыков, А.Б. Саркисов, А.В. Макарова ТЕХНОЛОГИЯ ЦИФРОВОЙ ОБРАБОТКИ СИГНАЛОВ С ИСПОЛЬЗОВАНИЕМ МОДУЛЯРНОГО ПОЛИНОМИАЛЬНОГО КОДА ...... 234 В.М. Федоров, Д.П. Рублев, Е.М. Панченко ИДЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЯ ПО ВИБРОАКУСТИЧЕСКИМ ШУМАМ, ВОЗНИКАЮЩИМ ПРИ НАБОРЕ ПРОИЗВОЛЬНОГО ТЕКСТА НА КЛАВИАТУРЕ ...... 241

3 С.А. Ховансков, К.Е. Румянцев, В.С. Хованскова АЛГОРИТМ ПРОГРАММНОГО МОДУЛЯ ДЕЦЕНТРАЛИЗОВАННОЙ СИСТЕМЫ УПРАВЛЕНИЯ ДЛЯ СОЗДАНИЯ БЕЗОПАСНЫХ РАСПРЕДЕЛЕННЫХ ВЫЧИСЛЕНИЙ В НЕУСТОЙЧИВОЙ ВЫЧИСЛИТЕЛЬНОЙ СРЕДЕ ...... 247 Е.Н. Ефимов, Г.М. Лапицкая ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ И БИЗНЕС-ПРОЦЕССЫ КОМПАНИИ ...... 253

CONTENT SECTION I. CONCEPTUAL ISSUES OF INFORMATION SECURITY Yu.A. Bryukhomitsky, O.B. Makarevich OVERVIEW OF RESEARCH AND DEVELOPMENT FOR INFORMATION SECURITY (on the reports XIII International Scientific Conference "Information security 2013") ...... 7 A.M. Tsybulin, M.N. Svishcheva SYSTEMS APPROACH TO IMPROVE THE EFFICIENCY AGAINST INSIDER USERS IN THE ORGANIZATION'S INFORMATION SYSTEMS ...... 26 P.M. Ivanov, O.B. Makarevich, Z.V. Nagoev AUTOMATIC FORMING OF CONTEXT OF SITUATIONS IN AMBIENT SECURITY SYSTEMS ON A BASIS OF MULTIAGENT COGNITIVE ARCHITECTURES ...... 34 O.Y. Peskova, K.E. Stepovaja FEATURES OF THE ANALYSIS OF INFORMATION SECURITY OF CLOUDY SYSTEMS ...... 39 SECTION II. SECURITY OF INFORMATION SYSTEMS AND NETWORKS E.S. Abramov, E.S. Basan DEVELOPMENT OF A SECURE CLUSTER-BASED WIRELESS SENSOR NETWORK MODEL ...... 48 R.V. Meshcheriakov, I.A. Hodashinsky, E.N. Gusakova EVALUATION OF FEATURE SPACE FOR INTRUSION DETECTION SYSTEM ...... 57 M.N. Zhukova, N.A. Koromyslov MODEL OF THE AUTOMATED SYSTEM SECURITY ASSESSMENT WITH USE OF THE FUZZY LOGIC ...... 63 Yu.A. Bryukhomitsky ADAPTIVE SELF-ORGANIZING ARTIFICIAL IMMUNE SYSTEM MODEL FOR A COMPUTER SECURITY PARTICULAR PURPOSE ...... 70 D.A. Kavchuk, E.P. Tumoyan, G.A. Evstafiev THE INTELLECTUAL APPROACH TO RISK AND VULNERABILITY ANALYSIS FOR THE INFORMATION SYSTEMS ...... 79 M.A. Kobilev, E.S. Abramov DEVELOPMENT OF AIRMOBILE COMPLEX FOR SECURITY AUDIT OF INFORMATION SYSTEMS WITH HIGHLY PHYSICAL SECURITY ...... 87 L.S. Kramarov, L.K. Babenko DETECTION OF NETWORK ATTACKS AND COUNTERMEASURE SELECTION IN CLOUD SYSTEMS ...... 94 Y.V. Tarasov, O.B. Makarevich MODELING AND STUDY OF LOW-INTENSITY DOS-ATTACKS ON BGP-INFRASTRUCTURE ...... 101 V.G. Mironova, A.A. Shelupanov ANALYSIS AND DISSEMINATION SUPPORT DIFFERENT ACCESS RIGHTS BASED MODEL DISCRETIONARY ACCESS RIGHTS TAKE-GRANT ...... 112 I.N. Pashchenko, V.I. Vasilyev DESIGN OF REQUIREMENTS TO SMART GRID SECURITY SYSTEM ON THE BASIS OF ISO/IEC 27001 AND 27005 STANDARDS ...... 118 I.Yu. Polovko THE DEVELOPMENT OF REQUIREMENTS TO THE CHARACTERISTICS OF NIDS FOR COMPARISON ...... 126 A.V. Nikishova, A.E. Churilina DISTRIBUTED INTRUSION INTO INFORMATION SYSTEM OF ENTERPRISE DETECTION ...... 135

5 A.M. Maximov ANALYSIS OF ATTACK FEATURES TO WEB SERVER THROUGH REQUESTS WITH ERRORS ...... 143 A.G. Bogoras, O.Yu. Peskova METHODOLOGY FOR TESTING AND ASSESSMENT OF FIREWALLS ...... 149 A.A. Beshta ARHITECRURE OF INSADERS CONTROL SOFTWARE DEVELOPMENT ...... 157 L.K. Babenko, A.S. Kirillov MODEL OF MALWARE BASED ON SYSTEM FUNCTION AND METHOD OF IT IMPORTING ...... 164 SECTION III. OBJECTS OF INFORMATION SECURITY O.A. Finko, E.P. Sokolovsky RISK ASSESSMENT INFORMATION SECURITY ALGORITHM IS BASED ON THE I. RYABININ LOGICAL-PROBABILISTIC METHOD ...... 172 E.N. Tishchenko, E.Yu. Shkaranda ALGORITHMIZATION OF THE FORMATION OF INDIVIDUAL SECURITY THREAT MODEL OF PERSONALLY IDENTIFIABLE INFORMATION ...... 181 V.S. Atkina MODEL ASSESSMENT OF THE BANKING SYSTEM PROTECTION ORGANIZATIONS OF THE RUSSIAN FEDERATION ...... 187 SECTION IV. METHODS AND TOOLS CRYPTOGRAPHY AND STEGANOGRAPHY S.A. Yevpak, V.V. Mkrtichan АBOUT THE LINK BETWEEN THE BOUNDS OF APPLYING OF THE SPECIAL INFORMATION PROTECTION SCHEME BASED ON THE Q-ARY REED-MULLER CODES ...... 194 E.A. Mikhailova MCELICE SECURITY SYSTEM IN RANDOM NETWORK BASED ON REED-SOLOMON NETWORK CODE ...... 200 V.O. Osipyan, Yu.A. Karpenko, A.S. Zhuck, A.H. Arutyunyan DIOPHANTINE DIFFICULTIES OF ATTACKS ON NON-STANDARD KNAPSACKS INFORMATION SECURITY SYSTEMS ...... 209 L.K. Babenko, E.A. Ischukova COMPETITION FINALISTS OF SHA-3 AND INFORMATION ON THEIR ANALYSIS ...... 217 SECTION V. APPLICATION INFORMATION SECURITY ISSUES I.A. Kalmykov, O.I. Dagayeva, D.O. Naumenko, O.V. Velts A SYSTEM APPROACH TO USAGE OF PSEUDORANDOM FUNCTION IN THE DATA PROTECTION SYSTEMS ...... 228 I.A. Kalmykov, A.B. Sarkisov, A.V. Makarova TECHNOLOGY OF THE DIGITAL PROCESSING SIGNAL WITH USE MODULAR POLYNOMIAL CODE ...... 234 V.M. Fedorov, E.M. Panchenko, D.P. Rublev USER IDENTIFICATION BASED ON VIBROACOUSTIC NOISES ORIGINATED FROM ARBITRARY TEXT TYPING ...... 241 S.A. Khovanskov, C.E. Rumyantsev, V.S. Khovanskovа THE ALGORITHM OF THE PROGRAM MODULE OF A DECENTRALIZED MANAGEMENT SYSTEM TO CREATE A SECURE DISTRIBUTED COMPUTING IN AN UNSTABLE ENVIRONMENT ...... 247 E.N. Efimov, G.M. Lapitskaya INFORMATION SECURITY AND BUSINESS PROCESSES...... 254

Раздел I. Концептуальные вопросы информационной безопасности

УДК 004.056:061.68

Ю.А. Брюхомицкий, О.Б. Макаревич ОБЗОР ИССЛЕДОВАНИЙ И РАЗРАБОТОК ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ* по материалам докладов ХIII Международной научно-практической конференции «Информационная безопасность-2013» Дается выборочный обзор наиболее интересных и значимых работ российских спе- циалистов, отражающих основные тенденции развития информационной безопасности в России. Обзор выполнен по материалам ХIII Международной научно-практической конфе- ренции «Информационная безопасность-2013», которая состоялась 9–12 июля 2013 г. в России, г. Таганроге. Исследования по информационной безопасности, представленные на Конференции российскими специалистами, сгруппированы в шесть направлений, соответствующих на- званиям секций: 1. Концептуальные вопросы информационной безопасности. 2. Защита объектов информатизации. 3. Безопасность информационных систем и сетей. 4. Методы и средства криптографии и стеганографии. 5. Информационная безопасность телекоммуникационных систем. 6. Прикладные вопросы информационной безопасности. Информационная безопасность; концептуальные вопросы; защита объектов инфор- матизации; безопасность информационных систем и сетей; методы и средства крипто- графии и стеганографии; безопасность телекоммуникационных систем; прикладные во- просы информационной безопасности.

Yu.A. Bryukhomitsky, O.B. Makarevich OVERVIEW OF RESEARCH AND DEVELOPMENT FOR INFORMATION SECURITY on the reports XIII International Scientific Conference "Information Security 2013" Presents a selective overview of the most interesting and significant works of Russian specialists, reflecting the main trends in the development of information security in Russia. The review is based on the XIII International Scientific- Practical Conference "Information Security 2013", held 9–12 July 2013 in Russia, Taganrog. Research on Information Security, presented at the Conference by Russian specialists are grouped into six areas corresponding to the names of the sections: 1. The conceptual issues of information security. 2. Protection of objects of information. 3. Security of information systems and networks.

* Работа выполнена при поддержке грантов РФФИ: 12-07-00081-а, № 13-07-06033-г.

7 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

4. Methods and means of cryptography and steganography. 5. Information security of telecommunication systems. 6. Applied to information security. Information security; conceptual issues; protection of objects of information; the security of information systems and networks; methods and means of cryptography and steganography; the security of tele-communications systems; applied to information security. ХIII Международная научно-практическая конференция «Информационная безопасность» состоялась 9–12 июля 2013 г. в России, в г. Таганроге. В Конферен- ции приняли участие 147 отечественных и зарубежных специалистов, которые представляли 4 страны, 25 городов, 52 организации. В составе участников: 1 ака- демик, 2 члена-корреспондента РАН, 18 докторов наук, 27 кандидатов наук, 22 аспиранта, 32 магистранта и студента. Материалы Конференции представлены в 65 докладах, опубликованных в двух книгах [1, 2]. Исследования по информационной безопасности, представленные на Конфе- ренции российскими специалистами, сгруппированы в шесть направлений, соот- ветствующих названиям секций: 1. Концептуальные вопросы информационной безопасности. 2. Защита объектов информатизации. 3. Безопасность информационных систем и сетей. 4. Методы и средства криптографии и стеганографии. 5. Информационная безопасность телекоммуникационных систем. 6. Прикладные вопросы информационной безопасности. Данный обзор является выборочным и охватывает наиболее интересные и значимые работы, российских специалистов, отражающие основные тенденции развития информационной безопасности в России в 2012–2013 гг. 1. Концептуальные вопросы информационной безопасности. В рамках этого направления на Конференции было представлено 5 докладов российских специалистов, посвященных концептуальным и перспективным направлениям в теории защиты информации и информационной безопасности. Поводом для выступления с докладом авторам Р.М. Юсупову и В.М. Шишки- ну, СПИИРАН, г. Санкт-Петербург, «Информационная безопасность, кибербезопас- ность и смежные понятия: Cyber Security VS информационной безопасности» по- служила информационная и организационная активность последних месяцев, свя- занная с разработкой и планами принятия в кратчайшие сроки так называемой «Стратегии кибербезопасности Российской Федерации», инициируемых на уровне Федерального Собрания, а также впечатления от непосредственного участия пред- ставителей СПИИРАН в обсуждении её проекта в составе экспертных групп. В док- ладе представлен краткий обзор принятых за последние годы в ряде стран рамочных документов, направленных на обеспечение безопасности сетевого взаимодействия. Отмечается потребность, и указываются направления актуализации положений дей- ствующих доктринальных документов Российской Федерации в сфере информаци- онной безопасности. Утверждается необходимость сохранения независимости её смыслового пространства в интересах национальной безопасности. Авторы считают, что терминологические дискуссии неконструктивны. Акту- альным является не дефиниции понятий, а осмысление новой и перспективной реальности, выработка адекватных ей мер обеспечения безопасности в конкретной практике, в первую очередь касающейся новых и многочисленных проблем безо- пасности сетевого информационного взаимодействия. По их мнению назрела не- обходимость развития и актуализации системы документов и, не исключено, поня- тийного аппарата, отражающих новые реалии и определяющих политику и прак- тику государства, общественные интересы в области информационной безопасно-

Раздел I. Концептуальные вопросы информационной безопасности

сти, в первую очередь, для публичного применения, в расчёте на обозримую пер- спективу. Для этого нет нужды в терминологическом перевороте. Речь должна идти о системе и преемственности без подражательства и неофитского стремления к альтернативности, как иллюзии новизны. Никто не может запретить употребле- ние любых терминов, в том числе, профессионального жаргона, но следование в русле чужого понятийного аппарата, каким бы универсальным и интернациональ- ным он не казался, замена не столько терминов, сколько смыслов, по сути, есть акт разоружения в информационном противоборстве. Можно отказаться от своих на- учных традиций, но тогда придётся отказаться от независимости, не только науч- но-технической, но, рано или поздно, и политической. Авторам представляется важным – разработка не декларативных стратегиче- ских документов, а программ конкретных действий, направленных на противодей- ствие наиболее актуальным угрозам, связанных, прежде всего, с сетевым взаимо- действием, с конечными сроками, индикаторами выполнения, финансированием, ответственностью и отчетностью за результаты. Становится необходимым органи- зованное развитие нового направления обеспечения информационной безопасно- сти по выявлению угроз и уязвимостей, организации сбора информации о них, хранению и обеспечению доступа к ней. В этих вопросах имеет место отставание и, как следствие, зависимость от внешних ресурсов. Кроме того нужны программы развития научно-методологического обеспечения решения проблем информаци- онной безопасности. Как показывает жизнь, феноменологический и реактивный подходы, преобладающие в настоящее время, не дают должного эффекта. Три больших доклада были посвящены вопросам практического применения ранее разработанных О.О. Варламым (МАДГТУ (МАДИ), г. Москва), миварным технологиям. Коллектив авторов: О.О. Варламов (МАДГТУ (МАДИ), г. Москва), Л.Е. Ада- мова (ДонГАУ, пос. Персиановский Октябрьского района Ростовской области), Д.В. Елисеев (МГТУ им. Н.Э. Баумана, г. Москва), Ю.И. Майборода (МФТИ, г. Мо- сква), П.Д. Антонов и Г.С. Сергушин (МАДГТУ (МАДИ), г. Москва), М.О. Чибиро- ва (НИЯУ (МИФИ), г. Москва) в своем докладе «Расширение границ автоматиза- ции умственной деятельности человека и миварный подход к моделированию про- цессов понимания компьютерами смысла текстов, речи и образов» представил результаты обширных исследований по повышению степени автоматизации чело- веческой деятельности в различных предметных областях, включая и информаци- онную безопасность. Авторы считают, что расширение границ автоматизации ум- ственной деятельности человека является чрезвычайно актуальной задачей, имеющей важное экономическое и стратегическое значение для страны. Как известно, в области искусственного интеллекта выделяют 3 уровня ис- следований: рефлексный (нейронные сети и генетические алгоритмы), логический (системы логического вывода) и социальный (моделирования мышления). Для дос- тижения поставленных целей исследования – повышения степени автоматизации человеческой деятельности – наибольший интерес представляет логический уро- вень. При этом они считают необходимым привлечение гносеологии с переводом ее на математический язык логики, вычислений и баз данных. Это позволяет стро- ить более сложные инструменты познания и перейти на новый уровень расшире- ния границ автоматизации умственной деятельности человека. В ранних работах О.О. Варламова и его коллег описаны достижения и пред- ложены новые математические формализмы для создания миварных технологий. Миварный подход может применяться в самых разных областях, включая и ин- формационную безопасность. Область информационной безопасности использует все достижения современных наук, а в первую очередь – достижения математики,

9 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

кибернетики и информатики. Поэтому расширение границ автоматизации умст- венной деятельности человека и проблема понимания смысла текстов, речи и об- разов компьютерами важны, прежде всего, для информационной безопасности. В работе обозначены две основные технологии накопления и обработки информа- ции: многомерные эволюционные базы данных и правил, которые накапливают любую информацию в формализме «вещь, свойство, отношение»; миварные сети, которые позволяют выполнять конструирование алгоритмов решения задач и ло- гический вывод с линейной вычислительной сложностью. Самое важное, по мнению авторов, состоит в том, что миварные технологии позволили снять существовавшие ограничения и предоставить единые системы с логико-вычислительной обработкой и базами данных. При этом базы данных ста- ли эволюционными и более адекватными, а логический вывод на причинно- следственных связях стал очень быстрым и его вычислительная сложность теперь не NP-полная, а линейная относительно количества правил. Более того, теперь ло- гический вывод можно выполнять параллельно, используя все ядра процессоров современных компьютеров. В работах авторов приведены примеры обработки бо- лее трех миллионов продукционных правил на обычных ноутбуках, что является революционным прорывом в логической обработке. Как следствие, миварный подход позволил создать более сложные инструменты познания мира. Исследования авторов показывают возможность описания в одном форма- лизме процессов понимания смысла текстов, речи и образов. Все эти процессы основаны на накоплении и создании многомерной информационной модели мира – «картины мира», где и правила, и факты хранятся и обрабатываются в единой активной базе данных и правил. Миварные технологии позволили смоделировать эти процессы одновременного накопления и логической обработки на основе ми- варного информационного пространства и миварных логико-вычислительных се- тей. Это позволяет создать более сложные научные инструменты познания и су- щественно расширить границы автоматизации умственной деятельности человека. Второй доклад в области миварных технологий: Г.С. Сергушин и О.О. Вар- ламов (МАДГТУ (МАДИ), г. Москва), М.О. Чибирова (НИЯУ (МИФИ), г. Моск- ва), Д.В. Елисеев, (МГТУ им. Н.Э. Баумана, г. Москва), Е.А. Муравьева (Филиал УГНТУ в г. Стерлитамаке) «Информационное моделирование сложных систем управления технологическими процессами на основе миварных АСУТП» посвя- щен созданию интеллектуальных автоматизированных систем управления техно- логическими процессами (АСУТП). С точки зрения информационной безопасности АСУТП могут рассматри- ваться как системы диагностики и автоматизированного управления процессами. Поэтому они могут применяться и в области информационной безопасности для решения аналогичных, по существу, задач сбора, накопления и обработки инфор- мации на основе компьютеров. В работе представлены результаты создания универсального программного комплекса УДАВ и его использования для математического моделирования различ- ных АСУТП в процессе обучения студентов технических вузов. УДАВ создан на основе миварных технологий, которые позволили моделировать сложные техноло- гические процессы в реальном времени. УДАВ, выполняет логический вывод с ли- нейной вычислительной сложностью. Студенты с его помощью успешно создают логические модели систем управления сложными технологическими установками в промышленности. В настоящее время, проводится работа по упорядочению и вы- кладыванию миварных моделей АСУТП на компьютерные ресурсы вузов. Комплекс УДАВ в настоящее время реализован на основе облачных технологий и доступен на сайте проекта МИВАР www.mivar.org. В перспективе планируется создание муль-

Раздел I. Концептуальные вопросы информационной безопасности

типредметной информационной системы по типу Википедии, когда пользователи смогут самостоятельно создавать описания различных предметных областей и предоставлять к ним открытый доступ для других пользователей. Третий доклад в области миварных технологий: М.О. Чибирова (НИЯУ (МИФИ), г. Москва), Г.С. Сергушин и О.О. Варламов (МАДГТУ (МАДИ), г. Мо- сква), Д.В. Елисеев (МГТУ им. Н.Э. Баумана, г. Москва) «Миварные и облачные технологии: «он-лайн» реализация универсального решателя задач на основе адап- тивного активного логического вывода с линейной вычислительной сложностью относительно правил в виде причинно-следственных связей «если – то» посвящен созданию аппарата логического искусственного интеллекта и его применению в различных предметных областях, включая и информационную безопасность. В работе представлены результаты создания новой версии миварного универсаль- ного решателя задач УДАВ, реализованного на основе облачных технологий и способного выполнять адаптивный активный логический вывод. Эксперименталь- но подтверждена теоретическая линейная вычислительная сложность логического вывода и автоматического конструирования алгоритмов решения различных задач на основе миварных сетей и продукций вида «если – то». По мнению авторов, в перспективе УДАВ может практически полностью заменить человека-оператора в информационной безопасности. Преимуществами миварного подхода к реализации универсального решателя задач являются: линейная вычислительная сложность и реальное время работы; решение логических и вычислительных (и других) задач; управление потоком входных данных и оперативная диагностика; адаптивное описание и непрерывное решение задач; активная работа с запросами или уточнениями входных данных на эволюционной сети правил и объектов (самообучение). Авторы утверждают, что использование миварных технологий позволило создать теоретические основы логического искусственного интеллекта. По их мнению, представленные ими результаты значительно превышают «мировой уро- вень» научных исследований, поскольку впервые предложено важнейшее решение по логической обработке продукционных правил с линейной вычислительной сложностью. Доклад М.А. Стюгин, А.В. Погребной, СФУ, г. Красноярск, посвящен «Про- блеме защиты от исследования в системах информационной безопасности». При проектировании систем информационной безопасности очень часто рассматрива- ются риски, основанные на незащищенности или ненадежности конкретных тех- нических решений, но крайне редко учитывается тот факт, что значительного снижения рисков можно добиться, если сделать защищаемую систему «непонят- ной» для стороннего наблюдателя. Технологии создания таких «непонятных» сис- тем можно обозначить единым термином защиты систем от исследования. В работе проанализирован неиспользованный на сегодняшний день ресурс в сис- темах безопасности – защита от исследования систем, под которым подразумевается преднамеренное запутывание злоумышленника при попытке построить адекватный образ атакуемой системы. Для этого проанализированы информационные ограниче- ния, с которыми он сталкивается в процессе исследования. Сформулированы методы защиты систем от исследования. Описаны практические применения и результаты внедрения технологии в области защиты интернет-ресурсов и локальных сетей. В качестве практических реализаций данного подхода к построению систем безопасности авторами разработана программа ReflexionWeb по защите интернет- ресурсов и ExLook для защиты локальных сетей. Подчеркивается, что перечень возможных внедрений технологий защиты от исследования не ограничен только сетями передачи данных и только техническими направлениями.

11 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Результаты исследования позволяют сформулировать область для дополни- тельной защиты информационных систем, не исключая применения любых других средств защиты, то есть определяют новый ресурс для снижения рисков. Техниче- ские системы, построенные по этим принципам, показали положительные резуль- таты. Программные продукты, реализующие технологию защиты от исследования, прошли успешное внедрение на коммерческих предприятиях. Проект разработки технических систем в области защиты от исследования за последние три года был поддержан Инновационным центром Сколково, Фондом инноваций, Красноярским фондом поддержки научной и научно-технической дея- тельности, грантом Президента Российской Федерации МК-1039.2013.9. 2. Защита объектов информатизации. Это направление на Конференции бы- ло представлено только одним докладом отечественных специалистов О.Т. Данило- вой, Е.Н. и Толстых, ОмГТУ, г. Омск «Анализ комплексной системы информацион- ной безопасности с применением инструментов качества и метода динамического программирования». В работе рассматривается практическое применение некоторых инструментов качества для анализа состояния комплексной системы защиты ин- формации организации, с целью выявления причинно-следственных связей, полу- чения качественных и количественных характеристик уровней защищенности для принятия решений по их эффективной модернизации. Авторы считают, что практи- ческое применение инструментов качества при проведении анализа состояния ин- формационной безопасности организации позволяет выявить причинно- следственные связи показателей информационной безопасности, получить их каче- ственные и количественные характеристики, которые играют важную роль при дальнейшем принятия эффективных решений о повышении уровня информацион- ной безопасности организации. На основании результатов сравнения с законами распределения можно определить основные экономически выгодные направления для повышения уровня комплексных систем защиты информации в целом. 3. Безопасность информационных систем и сетей. В рамках этого направле- ния на Конференции было представлено 17 докладов российских специалистов. Те- матика докладов весьма разнообразна и, в частности, включает в себя: методы и средства защиты от атак на беспроводные сенсорные сети; аудит безопасности вы- числительных сетей; мониторинг и аудит операционных систем; анализ инцидентов информационной безопасности; анализ профилей злоумышленников в компьютер- ных системах; защиту информации от НСД для операционных систем; тестирование средств защиты информации; проблемы хранения чувствительных данных средств криптографической защиты; безопасность использования однонаправленных сетей передачи данных; вопросы построения безопасности компьютерных систем на осно- ве использования искусственных иммунных систем; безопасность облачных вычис- лений; модели вредоносного программного обеспечения и др. Два доклада Е.С. Абрамова и Е.С. Басан, ЮФУ, г. Таганрог были посвящены безопасности беспроводных сенсорных сетей. В первом докладе авторами проведен «Анализ сценариев атак на беспровод- ные сенсорные сети», выявлены угрозы, характерные для каждой атаки, предло- жены методы для обнаружения и предотвращения атаки. Все рассмотренные ими атаки разделены на два общих класса: активные и пассивные, а также выделен класс атак на средства защиты сети. Существующих механизмов защиты от этих атак недостаточно, и необходимо разрабатывать новые способы защиты характер- ные для беспроводных сенсорных сетей. Список атак, рассмотренный в докладе, хотя и представлен широко, но не является исчерпывающим. Многие атаки вклю- чают в себя несколько стадий. Для большинства атак представлены методы пре- дотвращения атаки. Особый интерес представляет класс атак на средства защиты информации, так как данные атаки еще недостаточно изучены.

Раздел I. Концептуальные вопросы информационной безопасности

Во втором докладе тех же авторов «Разработка архитектуры системы обна- ружения вторжений для беспроводных сенсорных сетей» представлен обзор мето- дов и систем обнаружения атак, существующих на сегодняшний день, проведена их классификация, а также выделены достоинства и недостатки. Выделены общие недостатки всех методов и предложены основы будущей разработки защищенной беспроводной сенсорной сети, а также системы обнаружения вторжений. Доклад М.Е. Бурлаков, М.Н. Осипов, СамГУ, г. Самара был посвящен «Ау- диту безопасности локальной вычислительной сети с помощью динамической сис- темы на нейронах с реакцией на последовательности». В работе описываются об- щие принципы обучения динамической системы на нейронах, а также поясняется механизм создания базы данных оптимальных и дефектных шаблонов. Кроме того рассмотрены вопросы теоретического обоснования и практического применения предложенной реализации системы аудита безопасности локальной вычислитель- ной сети. Определяются основные аспекты применимости системы аудита в рам- ках выбранной модели информационной системы. Результатом исследования яв- ляется подтверждение актуальности применения выбранной модели с дальнейшим определением ее сферы применения. Доклад Д.А. Стеценко, ВолГУ, Волгоград был посвящен «Разработке типо- вой архитектуры подсистемы мониторинга и аудита ОС на базе Linux». Рассмат- ривая Распоряжение правительства РФ от 17 декабря 2010 г. № 2299-р о переходе с ПО Microsoft на аналоги Оpen Source автор делает вывод, что только при усло- вии использования такого ПО совместно с системами мониторинга и аудита, мож- но добиться должного уровня защищенности информационных систем государст- венных органов. Информационная система, функционирующая под управлением ОС с откры- тыми исходными кодами и оснащенная средствами мониторинга и аудита, позво- ляет квалифицированному специалисту провести своевременный анализ событий, повлекших нарушение безопасности, выработать решение и внедрить его в рабо- чую систему, тем самым, раз и навсегда перекрыть возможность злоумышленнику реализовать подобную атаку снова. Свойство наблюдаемости автоматизированной системы мониторинга и аудита событий информационной безопасности в зависи- мости от качества его реализации позволяет в той или иной мере следить за со- блюдением сотрудниками организации ее политики безопасности и установлен- ных правил безопасной работы на компьютерах, а, следовательно, контролировать большую часть из всех возможных каналов утечки информации. Средства монито- ринга и аудита позволяют своевременно идентифицировать и предотвратить утеч- ку информации в результате проведения атак, типичных для компьютеров под управлением ОС GNU\Linux, подключенных к локальной сети и обрабатывающих конфиденциальную информацию. В докладе также уделяется внимание вопросам повышения эффективности процесса своевременного реагирования на события информационной безопасности организаций частного сектора. Делается вывод об актуальности задачи – разработки модели подсистемы мониторинга и аудита, функционирующей на лю- бой платформе ОС семейства Linux. Тема аудита информационной безопасности была также представлена в докла- де С.Н. Смирнов (СКЦ Росатома), С.А. Киреев, (Концерн «Системпром»), г. Москва, «Анализ средств аудита информационной безопасности в СУБД Oracle». В работе рассмотрена задача автоматизированного аудита информационной безо- пасности информационных систем, построенных на базе СУБД промышленного уровня. На примере средств СУБД Oracle 11g авторами показана возможность – по- строения эффективных механизмов контроля действий пользователя баз данных на

13 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

основе штатных средств аудита системы. Рассмотрены возможности и области при- менения дополнительного средства избирательного аудита. Выбор более совершен- ного механизма аудита уменьшает потенциальные потери, связанные с деструктив- ными действиями нарушителя, но сбор и обработка данных аудита требуют допол- нительных затрат ресурсов системы. Выбор конкретного решения, в конечном счете, определяет значения элементов матрицы платежей, которые в соответствии с пред- ложенной постановкой задачи определяют цену игры, рассматриваемую как харак- теристику качества обеспечения информационной безопасности системы. В докладе В.Г. Жуков, А.А. Шаляпин, СГАУ им. М.Ф. Решетнева, г. Красно- ярск «Алгоритм прецедентного анализа инцидентов информационной безопасно- сти» рассматривается решение задачи совершенствования процесса управления инцидентами информационной безопасности путем автоматизации процедуры идентификации стратегии реагирования с помощью аппарата прецедентного ана- лиза. Предлагаемый авторами подход основан на поиске решения по аналогии «от частного к частному», применение которого позволит повысить оперативность реагирования и многократно использовать ранее накопленный опыт разрешения инцидентов. Приводится описание алгоритма прецедентного анализа инцидентов информационной безопасности, а также результаты численных экспериментов, которые на множестве тестовых данных демонстрируют работоспособность аппа- рата прецедентного анализа при автоматизации процедуры идентификации страте- гии реагирования. Преимущества применения прецедентного анализа заключают- ся в возможности повторно применять накопленный опыт и в сокращении времени поиска сценариев реагирования для аналогичных инцидентов. Предложенный подход также позволяет решить задачу обнаружения аномальных инцидентов в классе, наличие которых сигнализирует эксперту о необходимости детального изучения сложившейся ситуации. В докладе А.П. Стефаров, М.Н. Жукова, СГАУ им. М.Ф. Решетнева, г. Красно- ярск «Сравнительный анализ профилей злоумышленников в компьютерных систе- мах на основе международных стандартов» рассмотрены профили злоумышленни- ков в компьютерных системах, которые отражены в национальных стандартах, яв- ляющихся ратифицированными Российской Федерацией международными стандар- тами ISO. Проведен сравнительный анализ профилей злоумышленников, отражен- ных в стандартах, с профилями злоумышленников, разработанными авторами. Сравнительный анализ проводился по наиболее распространенным классифи- кационным признакам, применяемым при построении профилей злоумышленников: место воздействия злоумышленников, мотивы их действия, каналы атак, средства атак, возможность сговора различных категорий злоумышленников, наличие досту- па к штатным средствам, уровень знаний об объектах атак, уровень квалификации, уровни воздействия злоумышленников и стадии жизненного цикла компьютерной системы. Для формирования сравнительных признаков определялось количество возможных значений каждого классификационного признака, далее сравнительные признаки представлялись в виде нормированных коэффициентов. Два доклада А.М. Каннера, ОКБ САПР, г. Москва были посвящены операци- онной системе Linux. В первом докладе «Linux: объекты контроля целостности» автором обосно- вывается необходимость расширения устоявшегося списка контроля целостности компонентов ОС Linux до ее загрузки модулями ядра ОС. В качестве доказатель- ства положения о необходимости данных мер приводится описание атаки «Инъек- ция кода» в модули ядра Linux. Предложены меры противодействия таким атакам, которые должны приниматься на этапе проектирования системы защиты инфор- мации от НСД.

Раздел I. Концептуальные вопросы информационной безопасности

Во втором докладе «Linux: К вопросу о построении системы защиты на основе абсолютных путей к объектам доступа» рассматриваются способы идентификации объектов доступа в ОС Linux, как одни из ключевых вопросов, стоящих перед разра- ботчиком системы защиты информации для таких ОС, анализируются их преимуще- ства и недостатки. Целью исследования является формулирование посылок, на кото- рые необходимо опираться при выборе метода идентификации объектов доступа, в отличие от второстепенных посылок, опираться на которые ошибочно. В докладе Т.М. Борисова, А.В. Кузнецов, А.И. Обломова, ОКБ САПР, г. Мо- сква «Тестирование средств защиты информации» рассмотрены особенности тес- тирования программно-аппаратных средств защиты информации от НСД различ- ных типов (функционирующих в ОС, функционирующих до загрузки ОС, вклю- чающих в свой конструктив флешь-память). Цель проведенного исследования за- ключается в оценке соответствия принятых принципов тестирования указанным задачам, а также в формировании корпуса требований к полноценному тестирова- нию программно-аппаратных средств защиты информации от НСД. Рассмотрен- ные аспекты тестирования программно-аппаратных средств защиты информации показывают, что для них нельзя применять напрямую перенесенные принципы тестирования программных продуктов. Разработчики адаптируют эти принципы в соответствии с собственными представлениями о целесообразности, однако акту- альной перспективной задачей авторам видится формирование корпуса специаль- ных принципов, учитывающих все особенности продуктов данного типа. В докладе Ю.П. Ладынская, А.Ю. Батраков, ОКБ САПР, г. Москва «Хране- ние данных средств криптографической защиты информации: выбор носителя» рассматриваются требования к хранилищам данных средств криптографической защиты с точки зрения информационной безопасности, соответствие устройств, традиционно применяемых в этом качестве, данным требованиям, а также ряд об- стоятельств, которые могут существенно влиять на выбор устройств при прочих равных условиях. Цель исследования – формирование корпуса критериев, позво- ляющих отдавать предпочтение тому или иному устройству на основании фикси- руемых и однозначных показателей. Доклад С.С. Лыдин, ОКБ САПР, г. Пенза «Организация однонаправленного канала передачи данных на базе защищенного служебного носителя информации» посвящен исследованию проблемы построения одностороннего канала передачи данных между сегментами информационной системы с различными уровнями обеспечения защищенности информации. Для решения данной проблемы на прак- тике обычно применяются однонаправленные сети передачи данных, эксплуатация которых сопряжена с рядом трудностей, связанных с потребностью в верификации данных и, как следствие, невозможностью использования в информационных сис- темах большинства традиционных сетевых протоколов. В работе предложено аль- тернативное решение по организации канала односторонней передачи данных на базе защищенного служебного носителя информации. Автор описывает обобщен- ную архитектуру защищенного служебного носителя, на базе которого может быть организован односторонний канал передачи данных, и минимальный набор реали- зуемых механизмов, достаточный для выполнения основных требований, предъяв- ляемых к такому каналу. Автор полагает, что предлагаемое решение может быть востребовано в качестве средства противодействия скрытым каналам утечки ин- формации, в частности, при построении системы защиты персональных данных в коммерческих и государственных организациях. Два доклада Ю.А. Брюхомицкого, ЮФУ, г. Таганрог были посвящены пер- спективным вопросам обеспечения безопасности компьютерных систем на основе использования искусственных иммунных систем.

15 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

В первом докладе «Модель искусственной иммунной системы с двойной пластичностью» предлагается формальная модель мониторинга информационных процессов в компьютерной системе на основе парадигмы искусственной иммун- ной системы с двойной пластичностью. Задачей мониторинга является своевре- менное выявление нелегитимных информационных процессов. Модель монито- ринга основана на модифицированном алгоритме отрицательного отбора, в кото- ром в формализованном виде используется свойство двойной пластичности им- мунной системы, позволяющее за счет регулирования типа и числа детекторов поддерживать более высокое качество распознавания нелегитимных информаци- онных процессов. Во втором докладе «Регулирование распознающих свойств искусственных иммунных систем с двойной пластичностью» рассматриваются подходы и методы регулирования распознающих свойств искусственных иммунных систем с двойной пластичностью, обеспечивающие необходимый баланс первичных и вторичных детекторов, участвующих в выявлении «чужих» информационных процессов. В числе предложенных автором – бионический подход и метод контролируемого уничтожения вторичных детекторов. По аналогии с живой иммунной системой определен эффект «старения» искусственной иммунной системы и предложены методы его нейтрализации. В докладе О.Ю. Песковой, ЮФУ, г. Таганрог «Облачные сервисы и безопас- ность: подходы и проблемы» приведены: классификация облачных сервисов, мо- делей сервиса и моделей развертывания; набор требований к облачным службам; результаты технологических прогнозов ПО для облачных вычислений. Выделены наиболее интересные и критичные с точки зрения обеспечения безопасности об- лачные технологии. Рассмотрены основные проблемы обеспечения безопасности в облачных сервисах. Предложена классификация проблем информационной безо- пасности облачных технологий по трем категориям: технологические и организа- ционные проблемы, юридические проблемы, антропогенные проблемы. Рассмот- рены вопросы стандартизации и документирования облачных вычислений, а также их применения в системах обеспечения безопасности. В докладе Л.К. Бабенко, А.С. Кириллов, ЮФУ, г. Таганрог, «Модели образ- цов вредоносного программного обеспечения на основе используемых системных функций и способов получения их адресов» рассматриваются вопросы построения модели вредоносного программного обеспечения (ВПО), ориентированной на включение в структуру образцов информации не только о конкретных системных функциях, но и способах получения их адресов. По мнению авторов, такая модель может быть использована для эффективного обнаружения и классификации неиз- вестных ранее экземпляров ВПО и, в отличие от более традиционных моделей, будет более гибкой, устойчивой к изменениям и не зависимой от упакованности и зашифрованности образца ВПО. 4. Методы и средства криптографии и стеганографии. В рамках этого на- правления на Конференции было представлено 13 докладов по актуальным про- блемам криптографии и криптоанализа. Тематика докладов, в частности, включает в себя: способы организации защищенного хранилища информации при облачных вычислениях; разработку и применение протоколов конфиденциальных вычисле- ний; построение новых моделей кодовых криптосистем; повышение стойкости схем специального широковещательного шифрования; исследование стойкости алгоритмов шифрования ГОСТ 28147-89 и RC5 и др. Доклад Ю.В. Косолапов, В.Э. Никулин, ЮФУ, г. Ростов-на-Дону «Способ организации распределенного хранилища, устойчивого к частичной утечке дан- ных» посвящен способам организации защищенного хранилища информации при облачных вычислениях. Для гарантирования надежности предоставляемого храни-

Раздел I. Концептуальные вопросы информационной безопасности

лища провайдеры часто используют принцип распределения информации между несколькими носителями с добавлением избыточности. Этот принцип может быть использован не только для гарантирования надежности хранения, но и для защиты информации от несанкционированного просмотра. Применение традиционного спо- соба защиты конфиденциальности информации на носителе путем шифрования ос- ложняется необходимостью управления жизненным циклом ключевой информации. При заранее определенном количестве доступных злоумышленнику носителей, имеющих различную вероятность утечки информации, авторы предлагают постро- ить защищенную систему хранения так, чтобы злоумышленник не мог однозначно восстановить секрет, при этом для организации защиты нет необходимости приме- нять секретные ключи. Такую систему хранения предлагается построить на основе концепции канала с наблюдением второго типа со специальным алгоритмом опти- мального распределения информации между двумя и тремя носителями. В докладе В.Г. Жуков, А.В. Вашкевич, СГАУ им. М.Ф. Решетнева, г. Красно- ярск «Конфиденциальный кластерный анализ при вертикальном секционировании данных» приведено обзорное исследование актуальных проблем в разработке и применении протоколов конфиденциальных вычислений, в частности, конфиден- циального кластерного анализа. Представлены недостатки существующих реше- ний конфиденциального кластерного анализа методом K-means при вертикальном секционировании данных, а также предложены пути их устранения с помощью криптографических примитивов и требования, которым они должны соответство- вать. С помощью предложенных мер будет гарантироваться обеспечение конфи- денциальности данных при кластерном анализе для заданной модели информаци- онного обмена, а именно для указанного общего количества участников и количе- ства сговорившихся из них. В частности, разрешена проблема раскрытия данных при малом количестве участников. Проделанная авторами работа позволяет в дальнейшем модернизировать су- ществующие протоколы, а также – распространить полученные сведения для по- следующего применения конфиденциального кластерного анализа в Российской Федерации. В докладе Е.С. Чекунов, ЮФУ, г. Ростов-на-Дону «Об алгоритмическом про- ектировании системы Мак-Элиса с использованием списочного декодера Берн- штейна» с целью повышения стойкости кодовой криптосистемы к атакам на сек- ретный ключ строится вариант системы Мак-Элиса с использованием списочного декодера Бернштйна. Стойкость предложенной Мак-Элисом кодовой криптосистемы с открытым ключом на основе бинарных кодов Гоппы основывалась на NP-сложности задачи декодирования произвольного линейного кода. Однако с появлением детермини- рованных алгоритмов атак на шифрограмму стало возможным восстанавливать зашифрованный текст с помощью компьютерных кластеров за приемлемое время. Для противостояния таким атакам криптосистему усилили за счет увеличения па- раметров кода и количества искусственных ошибок в протоколе, а также примене- ния списочного алгоритма декодирования. Цель настоящей работы заключается в том, чтобы построить модель кодовой криптосистемы Мак-Элиса на бинарных кодах Гоппы с использованием известной математической модели списочного де- кодера Бернштейна для применения в системах защиты данных от НСД. Данный подход позволяет увеличить уровень защищенности системы в целом, не меняя при этом ее параметры. Авторы Н.В. Бессуднова (ЮФУ) и В.В. Мкртичян (НИИ «Спецвузавтомати- ка»), г. Ростов-на-Дону представили доклад «Исследование алгоритма Сантхи спи- сочного декодирования q-ичных кодов Рида-Маллера и возможности его примене- ния в схемах специального широковещательного шифрования». Целью проведен-

17 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

ного ими исследования является изучение возможности применения эффективного алгоритма списочного декодирования Сантхи для построения схемы защиты ти- ражируемой цифровой продукции от несанкционированного распространения. Для достижения этой цели исследуется алгоритм Сантхи списочного декодирования q-ичных кодов Рида-Маллера и структура этих кодов. На основе исследований авторами доказывается утверждение о возможности применения алгоритма Сант- хи в схемах специального широковещательного шифрования. Авторы С.А. Евпак (ЮФУ) и В.В. Мкртичян (НИИ «Спецвузавтоматика»), г. Ростов-на-Дону представили доклад «О границах применения специальной схемы защиты информации, основанной на q-ичных кодах Рида-Маллера». Известен пер- спективный способ защиты легально тиражируемой цифровой продукции от не- санкционированного распространения, называемый схемой специального широко- вещательного шифрования (ССШШ). Известно также, что злоумышленники, яв- ляющиеся легальными пользователями ССШШ, могут объединяться в коалиции и пытаться атаковать ССШШ. В более ранних работах С.А. Евпаком и В.В. Мкртичя- ном было доказано, что для эффективного поиска всей коалиции, или, по крайней мере, ее непустого подмножества, можно применять q-ичные коды Рида-Маллера и представлена соответствующая математическая модель эффективной ССШШ. Це- лью настоящей работы является исследование математической модели эффектив- ной ССШШ на основе q-ичных кодов Рида-Маллера и списочного декодера Пел- ликаана для тех же кодов в случае превышения допустимого числа членов коали- ции злоумышленников. Настоящее исследование позволило установить новые границы применения схемы защиты легально тиражируемой цифровой продукции от несанкционированного распространения. Три доклада специалистов ЮФУ, г. Таганрог были посвящены исследованию стойкости алгоритма шифрования ГОСТ 28147-89. В первом докладе Бабенко, Е.А. Ищукова «Линейный криптоанализ алгорит- ма ГОСТ 28147-89» авторами представлен универсальный алгоритм поиска сла- бых блоков замены по отношению к линейному криптоанализу. Данное исследо- вание направлено на предотвращение использования слабых блоков замены для тех алгоритмов шифрования, в которых данные элементы не являются фиксиро- ванными. Разработанный алгоритм был опробован на примере анализа блоков за- мены для алгоритма шифрования ГОСТ 28147-89. Применение алгоритма позво- лило без труда обнаружить большое число ослабленных блоков замены, использо- вание которых может значительно ослабить стойкость используемого алгоритма шифрования. Во втором докладе тех же авторов «Различные подходы к оценке стойкости алгоритма шифрования ГОСТ 28147-89» рассмотрены подходы к анализу алго- ритма шифрования ГОСТ 28147-89 на основе методов линейного и дифференци- ального криптоанализа, алгебраической и слайдовой атак. Приведены численные результаты, полученные экспериментально в результате применения рассмотрен- ных методов анализа различными специалистами в области криптографии, вклю- чая авторов данного доклада. В третьем докладе Л.К. Бабенко, Е.А. Маро «Оценка стойкости алгоритма ГОСТ28147-89 к алгебраическим методам криптоанализа» приведено описание принципа оценки стойкости российского стандарта шифрования ГОСТ 28147-89 методом eXtended Linearization (XL) алгебраического анализа. В работе приводят- ся алгоритмы: генерации системы уравнений для фиксированных блоков замены (S-блоков), решения полученной системы уравнения методами линеаризации и eXtended Linearization. Выполнено моделирование атаки на алгоритм ГОСТ.

Раздел I. Концептуальные вопросы информационной безопасности

В докладе Л.К. Бабенко, С.И. Сохненко, ЮФУ, г. Таганрог «Особенности функции хэширования Keccak» описана криптографическая хэш-функция Keccak, являющаяся победителем конкурса SHA-3 и ставшая новым стандартом, приня- тым Национальным институтом стандартов и технологий США (НИСТ). В докладе В.О. Осипян, А.С. Жук, А.Х. Арутюнян, Ю.А. Карпенко, КубГУ, г. Краснодар «Разработка математической модели системы обработки потока дан- ных по заданному набору элементов множества» сформулирована и решена задача построения упорядоченного множества строк на заданном алфавите, допускающе- го взаимно-однозначное соответствие между его подмножествами и буквами ал- фавита. Разработан алгоритм для построения такого множества строк и приведены граничные оценки относительно их мощностей. На основе полученных результа- тов построена математическая модель симметричной криптосистемы с количест- вом ключей, экспоненциально зависящим от числа исходных параметров, в каче- стве прикладного приложения. Авторы отмечают возможность дальнейшего развития данной криптосисте- мы по параметрам: упрощение алгоритма построения ключа, построение СЗИ с открытым ключом с использованием задачи об суперобобщенном рюкзаке. Доклад Е.А. Ищуковой, ЮФУ, Таганрог был посвящен «Линейному крип- тоанализу алгоритма шифрования RC5». В работе рассмотрены подходы к анализу стойкости алгоритма RC5 на основе использования метода линейного криптоана- лиза. Рассмотрены способы построения линейных аналогов при использовании операции целочисленного сложения по модулю. Рассмотрены алгоритмы построе- ния линейных аналогов и поиска секретного ключа на их основе. Поскольку алго- ритм ГОСТ 28147-89 имеет в своей структуре такое же криптографическое преоб- разование, что и алгоритм RC5, а именно, – операцию целочисленного сложения по модулю, – достигнутые результаты могут быть объединены с полученными ранее результатами в области анализа алгоритма ГОСТ 28147-89 для проведения оценки его стойкости по отношению к линейному криптоанализу. 5. Информационная безопасность телекоммуникационных систем. В рамках этого направления на Конференции было представлено 9 докладов. Тематика докла- дов включала в себя: разработку математического аппарата для оценки вероятности неприема апериодических псевдослучайных последовательностей в каналах связи различного типа; способ измерения частоты радиосигнала в акустооптическом приём- нике-частотомере; применение алгоритма декодирования БЧХ-кодов для оценки раз- ведзащищенности псевдослучайных последовательностей специальных систем связи; совершенствование способа обмена информацией в высокоскоростных беспроводных информационных сетях; применение производных систем ортогональных сигналов для повышения помехоустойчивости систем радиосвязи с кодовым разделением або- нентов; моделирование методов скремблирования цифрового потока данных; безопас- ность передачи сообщений ключевого управления по каналам связи в системах радио- связи; анализ проблемы выбора параметров технических средств спутниковой связи. Доклад Д.М. Собачкин, КВВУ им. С.М. Штеменко, г. Краснодар посвящен «Оценке вероятности неприема апериодической псевдослучайной последовательности в составных и двоичных симметричных каналах связи». Целью работы является раз- работка математического аппарата для оценки вероятности неприема апериодических псевдослучайных последовательностей (АПСП) в составных рэлеевских каналах с тропосферным рассеиванием и дискретных симметричных каналах. Рассмотрение дискретных каналов как отображение непрерывных линейно-стохастических каналов позволило исследовать влияние ошибок синхронизации в дискретных каналах на ос- нове изучения свойств непрерывных каналов связи. В результате такого подхода по- лучены строгие оценки вероятности неприема АПСП в составных и биномиальных каналах связи и проведен сравнительный анализ синхронизации АПСП в них.

19 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

В докладе А.В. Помазанов, С.С. Шибаев, ЮФУ, г. Таганрог «Способ измерения частоты радиосигнала в акустооптическом приёмнике-частотомере» применительно к акустооптическим приёмникам-частотомерам (АОПЧ) и измерителям параметров радиосигналов предложен алгоритм вычисления частоты измеряемого сигнала. Суть алгоритма заключается в том, что кривая настройки реального АОПЧ заменяется не- прерывной ломаной линией, при последующем использовании которой обеспечива- ется возможность повышения точности вычисления искомой частоты. Авторы рекомендуют предложенный ими алгоритм к практическому исполь- зованию. Эффективность использования алгоритма, по их мнению, будет возрас- тать с увеличением полосы рабочих частот АОПЧ. В докладе С.А. Расторгуев, КВВУ им. С.М. Штеменко, г. Краснодар рассмат- ривается «Применение алгоритма декодирования БЧХ-кодов для оценки разведза- щищенности псевдослучайных последовательностей специальных систем связи». Целью работы является доказательство независимости разведзащищенности псевдо- случайной последовательности (ПСП) от длины периода, даже при неограниченном его увеличении. В работе предлагается для вскрытия структуры ПСП специальных систем использовать итеративный алгоритм декодирования БЧХ-кодов Берлекемпа- Месси. Путем имитационного моделирования алгоритма Берлекемпа-Месси доказы- вается возможность вскрытия структуры ПСП даже при неограниченном увеличе- нии его периода. Строго обоснована зависимость разведзащищенности ПСП в сеан- сах связи от перехвата чистого отрезка ПСП, равной длине формирующего его ли- нейного рекуррентного регистра. Суть алгоритма вскрытия структуры ПСП осно- вана на том, что на каждом шаге декодирования делается попытка определения полинома обратных связей, формирующего эту последовательность регистра пу- тем формирования порождающего полинома. По результатам исследования сформулированы необходимые и достаточные условия обеспечения заданной разведзащищенности ПСП в сеансах связи. Доклад А.П. Жук, В.И. Петренко, Ю.В. Кузьминов, А.А. Лысенко, СКФУ, г. Ставрополь посвящен «Совершенствованию способа обмена информацией в высокоскоростных беспроводных информационных сетях с использованием новых типов ансамблей дискретных последовательностей». Целью работы является ана- лиз известных способов формирования ансамблей ортогональных последователь- ностей на предмет обеспечения при их использовании максимальной структурной скрытности систем передачи информации с кодовым разделением каналов. Доклад В.И. Петренко, А.П. Жук, Ю.В. Кузьминов, Д.Н. Суховей, СКФУ, г. Ставрополь посвящен «Применению производных систем ортогональных сигна- лов для повышения помехоустойчивости систем радиосвязи с кодовым разделени- ем абонентов». В работе рассмотрено влияние параметров адресных и расширяю- щих спектр дискретных последовательностей на помехоустойчивость широкопо- лосных систем радиосвязи с кодовым разделением абонентов. Рассмотрен способ формирования ансамблей многозначных ортогональных дискретных последова- тельностей при использовании производящих последовательностей линейной структуры. Разработано правило формирования производных последовательно- стей, проведен расчет и сравнение их автокорреляционных свойств. Доклад В.Т. Корниенко, ЮФУ, г. Таганрог «Скремблирование цифрового по- тока данных: использование виртуальных приборов LabVIEW в учебном процес- се» посвящен описанию лабораторного практикума на основе технологии вирту- альных приборов LabVIEW, предназначенному для выполнения операций скремб- лирования цифрового потока данных. В работе рассмотрены приложения опера- ций скремблирования цифрового потока и приведен пример реализации виртуаль- ного скремблера в системе передачи видео высокой четкости.

Раздел I. Концептуальные вопросы информационной безопасности

В докладе И.Е. Любушкина, А.В. Шарамок, Фирма «АНКАД», г. Москва «Безопасность передачи сообщений ключевого управления по каналам связи в системах радиосвязи» рассмотрена модель удаленного управления ключевой ин- формацией в радиосетях высокого уровня сложности. Предложена модель транс- портного уровня передачи команд ключевого управления на базе протокола SNMPv3. Рассмотрена архитектура протокола. Разработаны методы внедрения подсистемы ключевого управления в архитектуру протокола SNMPv3. Приведен сравнительный анализ разработанных методов. В докладе А.Ф. Чипиги, СКФУ, г. Ставрополь «Анализ проблемы выбора па- раметров технических средств спутниковой связи при использовании понижен- ных частот и сдвоенного приема» приведены результаты разработки методики параметрического синтеза низкочастотных систем спутниковой связи по заданным требованиям к их энергетической скрытности и помехоустойчивости. Параметрический синтез включает в себя выбор технических характеристик, ско- рости передачи, системного запаса, несущей частоты. 6. Прикладные вопросы информационной безопасности. В рамках этого направления на Конференции было представлено 16 докладов по вопросам приме- нения принципов, подходов, методов, средств информационной безопасности для решения задач в различных прикладных областях. Кроме того, в это направление вошли доклады, темы которых выходят за рамки предыдущих пяти тематических направлений работы конференции. Доклад С.Е. Кузнецов, В.А. Клейменов, НТЦ «Атлас», Пенза «Анализ ПО посредством исследования информационных потоков». Целью данного исследова- ния является определение способа анализа ПО посредством исследования инфор- мационных потоков. В процессе проведенного исследования наиболее приоритет- ными были принципы максимально возможного сокращения экспертных трудоза- трат при сохранении относительно высокой достоверности результатов анализа ПО. Предлагаемый в итоге способ предусматривает при проведении анализа ПО, как непосредственную работу эксперта, так и применение автоматизированных средств. Предложенная реализация способа исследования информационных потоков позволяет оптимизировать трудоемкость анализа ПО, разработанного на большин- стве современных языков программирования, причем в большинстве случаев ос- новные положения предложенной реализации способа не зависят от назначения и области применения исследуемого ПО. Данная методика позволяет сократить временные трудозатраты эксперта при относительно хороших показателях достоверности результатов анализа. Одним из проблемных моментов предлагаемой методики является отсутствие функциональ- ной возможности определения наличия защищаемых данных в конкретных облас- тях памяти, что обуславливается изменением состояния системы во времени. Реа- лизация такой функциональной возможности является предметом дальнейшей ра- боты авторов над данной проблемой. Четыре доклада специалистов ЮФУ, г. Таганрог объединены общим подхо- дом к различным аспектам обеспечения защиты информации с позиции виртуали- зации. В первом докладе В.В. Котенко, К.Е. Румянцев, А.И. Поляков, А.И. Ежов «Алгоритмы оптимизации процессов защиты дискретной информации с позиций виртуализации информационных потоков» решается задача синтеза алгоритмов оптимизации процессов шифрования и дешифрования с позиций виртуализации информационных потоков. Виртуализация реализуется включением на выходе преобразования шифрования и на входе преобразования дешифрования модуля

21 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

виртуализации информационного потока, осуществляющего дешифрование крип- тограмм исходного и виртуального информационных потоков, шифрование ре- зультатов дешифрования и задержки во времени ключевых последовательностей и сообщений. Авторы утверждают, что программная реализация полученных алго- ритмов применительно к известным шифрам DES и AES показала значительное (практически на порядок) увеличение эффективности шифрования. Во втором докладе C.В. Котенко, К.Е. Румянцев, В.В. Котенко, А.И. Ежов, А.И. Поляков «Защита объектов информатизации на основе информационной вир- туализации видеоидентификаторов» предлагается вариант реализации подхода, основанного на информационной виртуализации идентификаторов, применитель- но к задачам защиты объектов информатизации от НСД. Традиционное решение задачи повышения эффективности защиты объектов информатизации достигается путем многоуровневого комплексного применения значительного числа обнаружителей НСД различных видов и увеличения количест- ва уровней их комплексного применения. В итоге это приводит к значительным фи- нансовым затратам на фоне – снижения функциональной устойчивости системы защиты объектов информатизации, в целом. Авторы показывают возможность ре- шения этой проблемы на основе информационной виртуализации идентификаторов. Проведенные авторами экспериментальные исследования варианта реализа- ции этого подхода показали значительное расширение возможностей защиты объ- ектов информатизации при незначительных экономических затратах. В третьем докладе С.В. Котенко, К.Е. Румянцев, В.В. Котенко «Идентифика- ционный анализ с позиций информационной виртуализации идентификаторов» предлагается новый подход к комплексному идентификационному анализу на ос- нове информационного тестирования параметров психофизиологических и био- метрических идентификаторов человека и формирования соответствующего им информационного образа личности. Теоретическая основа подхода базируется на математическом аппарате и подходах теории информации и теории виртуализации. С этих позиций основу психофизиологического тестирования человека составляет исходная информация о значениях параметров психофизиологических идентификаторов. Тогда отноше- ния объектов исследования (тестируемых) и исследователя представляются в виде схемы коммуникации, где объект исследования выступает в качестве источника информации, а исследователь – в качестве получателя информации. Такая схема коммуникации предполагает переход из материальной (вещественной) области представления параметров психофизиологических идентификаторов в информа- ционную область. Этот переход обеспечивается путем виртуализации материаль- ного представления параметров психофизиологических идентификаторов. По мнению авторов, реализация предложенного подхода открывает новую область методов многофакторного идентификационного анализа личности. Значи- тельное число известных психофизиологических идентификаторов и еще большее число их возможных комбинаций позволяют прогнозировать большой реализаци- онный потенциал подхода в части разработки принципиально новых методов, применимых для решения широкого круга задач психофизиологии и идентифика- ционного анализа личности. В четвертом докладе В.В. Котенко, А.А. Поляков «Стратегия оптимизации методов защиты непрерывной информации с позиций виртуализации относитель- но условий теоретической недешифруемости» приводится теоретическое обосно- вание стратегии оптимизации процесса защиты непрерывной информации с пози- ций виртуализации относительно условий теоретической недешифруемости. По- лучена модель виртуализации процесса защиты непрерывной информации с пози-

Раздел I. Концептуальные вопросы информационной безопасности

ций условий теоретической недешифруемости, составляющая фундаментальную основу – стратегии оптимизации процесса защиты непрерывной информации. По мнению авторов, применение предложенной стратегии открывает принципиально новую область возможностей разработки методов скремблирования, обеспечи- вающих абсолютную недешифруемость. В докладе А.О. Шумская, Р.В. Мещеряков, ТУСУР, г. Томск «Использование расстояния Махаланобиса в задачах идентификации происхождения текста» рас- сматривается вопрос применимости статистических методов атрибуции для реше- ния задач выявления искусственной генерации текста. Для определения сходства некоторого текста с характеристиками искусственного текста применяется метри- ка расстояния Махаланобиса. В работе представлены результаты экспериментальных вычислений степени схожести случайного входного текста со специально исследуемыми выборками искусственных текстов. Предполагается, что этот и подобные расчеты могут по- зволить выработать наиболее эффективный способ выявления искусственной ге- нерации текстовых произведений. В докладе А.Ю. Исхаков, Р.В. Мещеряков, ТУСУР, Томск «Схемы аутенти- фикации пользователя в СКУД с использованием QR кодов и передачи данных по технологии NFC» представлены результаты исследования применимости техноло- гий QR кодов и беспроводной высокочастотной связи малого радиуса в качестве транспорта аутентификационной информации. В современных системах контроля и управления доступом СКУД процедура аутентификации пользователей обычно реализуется посредством электронных проходных с использованием бесконтактных карт доступа. Они являются класси- ческим примером аутентификации второго типа, наследуя и недостатки любой системы однофакторной аутентификации. В связи с этим авторами предлагается механизм двухфакторной аутентифика- ции, предполагающий использование мобильного устройства связи в качестве носи- теля пользовательского идентификатора. При этом в мобильном устройстве реали- зуется программный генератор одноразовых паролей, который позволит защитить систему аутентификации от компрометации статичного идентификатора. В качестве второго фактора аутентификации предлагается использовать защиту от НСД к при- ложению-аутентификатору (в случае потери/кражи мобильного устройства). В докладе Е.В. Лапина, В.В. Золотарев, СГАУ им. М.Ф. Решетнева, г. Крас- ноярск «Автоматизация процесса исследования параметров систем электронного документооборота» приводится решение задачи – анализа оценки параметров до- кументооборота. Основой подхода является отслеживание состояния системы до- кументооборота в динамике. В докладе В.В. Золотарев, СГАУ им. М.Ф. Решетнева, г. Красноярск «К во- просу моделирования безопасности автоматизированных систем управления тех- нологическими процессами» представлен подход к оценке и моделированию безо- пасности, в том числе элементов информационной безопасности программных и аппаратных компонентов, для автоматизированных систем управления технологи- ческими процессами различных типов. Предполагается, что в дальнейшем подход будет конкретизирован и привязан к типовым решениям. Доклад Б.И. Ефимов, Р.Т. Файзуллин, ОмГТУ, г. Омск посвящен «Вопросу устойчивости объективного решения экспертов в системах принятия решений с привлечением экспертов при воздействии угроз информационной безопасности». В работе сформулировано основное требование к системе – обеспечения инфор- мационной безопасности системы принятия решений с привлечением экспертов. Предложено решение задачи – вычисления вероятности принятия ложного реше-

23 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

ния в системах принятия решения с привлечением экспертов под воздействием угроз информационной безопасности, направленных на изменение ответов экспер- тов. Получены оценки, показывающие целесообразность или нецелесообразность увеличения количества экспертов для уменьшения влияния действий злоумыш- ленника на принимаемое решение. Рассмотрены типы атак на основе увеличения вероятности неверного решения. В докладе Н.Д. Абасов, А.М. Абасова (ЮФУ, г. Таганрог), С.В. Савин, О.А. Финько (КВВУ им. С.М. Штеменко, г. Краснодар) «Отказоустойчивый реги- стратор защищённой информации, функционирующий в избыточном модулярном коде» рассматривается устойчивая к ошибкам система обработки и хранения ин- формации, построенная на основе свойств избыточного модулярного кода и функ- ционирующая в кольце неотрицательных целых чисел по модулю p. Предложены решения, позволяющие обеспечить информацию, хранимую в регистраторах за- щищённой информации, свойством самовосстановления после различных деструк- тивных воздействий, являющихся следствиями функционирования в экстремаль- ных условиях. По сравнению с методами резервирования достигается уменьшение избыточности оборудования. Доклад Е.П. Соколовский, А.К. Малашихин, О.А. Финько, КВВУ им. С.М. Ште- менко, г. Краснодар посвящен «Применению числовой нормальной формы представ- ления булевых функций в логико-вероятностном методе И.А. Рябинина». Оценка безопасности структурно-сложных систем, в том числе – систем защиты информации (СЗИ), с использованием логико-вероятностного метода основывается на исследова- нии сценариев опасных состояний, реализованных монотонными булевыми функ- циями. Развитие путей практического использования логико-вероятностного мето- да в СЗИ затруднено сложностью – автоматизации процессов построения сценари- ев опасных состояний и получения вероятностных функций перехода исследуемой системы в опасное состояние. В работе рассматривается применение фундамен- тальных положений алгебры логики для построения и реализации вероятностных полиномов в методе И.А. Рябинина. Применение ориентировано на решение задач автоматизации построения и вычисления вероятностных функций перехода СЗИ в опасное состояние. Доклад Н.И. Елисеев, О.А. Финько, КВВУ им. С.М. Штеменко, г. Краснодар «Подсистема проверки целостности графической информации в системах элек- тронного документооборота». Существующие технологии защиты информации, реализованные в системах электронного документооборота, в ряде случаев не по- зволяют обеспечить объективность результата проверки целостности графической информации. В работе предлагаются решения, обеспечивающие современные средства электронной подписи свойством «гибкости» при проверке целостности графической информации, представленной как в электронном виде, так и на твер- дых («бумажных») носителях. В докладе И.А. Калмыков, Е.М. Яковлева, М.И. Калмыков, А.Б. Саркисов, ИИТТ СКФУ, г. Ставрополь «Разработка алгоритма определения злоумышленника для схемы разделения секрета, функционирующей в модулярном полиномиаль- ном коде» рассмотрены основы построения схемы разделения секрета, которая функционирует в полиномиальной системе классов вычетов (ПСКВ). Приведены требования, предъявляемые к системе оснований ПСКВ. Рассмотрен алгоритм восстановления секрета с помощью китайской теоремы об остатках. Разработан алгоритм определения злоумышленника в группе пользователей, которые восста- навливают секрет. В основу алгоритма положена позиционная характеристика не- позиционного модулярного полиномиального кода.

Раздел I. Концептуальные вопросы информационной безопасности

В докладе В.М. Федоров, Д.П. Рублев (ЮФУ, г. Таганрог), Е.М. Панченко (НИИ Физики ЮФУ, г. Ростов-на-Дону) «Сегментация виброакустических сигна- лов, возникающих при нажатии/отпускании клавиш клавиатуры» рассмотрена проблема сегментации виброакустических сигналов, возникающих при наборе данных на клавиатуре. Предложены алгоритмы сегментации сигналов на основе дискретного вейвлет-преобразования и условия превышения порога пиками сигна- ла для идентификации принадлежности фрагмента виброакустического сигнала нажатию либо отпусканию клавиши. Точность идентификации, по заявлению ав- торов, составила более 96 %. В докладе Т.А. Гришечкина, О.Б. Макаревич, ЮФУ, г. Таганрог «Выявление вредоносных узлов в сетях ad hoc при различных типах атак» показано примене- ние методики выявления вредоносных узлов в сети ad hoc c кластерной архитекту- рой. Описывается поведение вредоносных узлов со стороны различных типов атак, которые они могут осуществлять. Кроме того, приводятся примеры поведения уз- лов при межкластерном взаимодействии.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК 1. Материалы ХIII Международной научно-практической конференции «Информационная безопасность». Ч. I. – Таганрог: Изд-во ЮФУ, 2013. – 276 с. 2. Материалы ХIII Международной научно-практической конференции «Информационная безопасность». Ч. II. Материалы III Всероссийской молодежной конференции «Перспек- тива-2013». – Таганрог: Изд-во ЮФУ, 2013. – 252 с. Статью рекомендовал к опубликованию к.т.н. М.Ю. Руденко. Брюхомицкий Юрий Анатольевич – Федеральное государственное автономное образова- тельное учреждение высшего профессионального образования «Южный федеральный уни- верситет»; e-mail: [email protected]; 347928, г. Таганрог, ул. Чехова, 2; тел.: 88634371905; кафедра безопасности информационных технологий; доцент. Макаревич Олег Борисович – е-mail: [email protected]; тел.: 88634312018; кафедра безопас- ности информационных технологий; зав. кафедрой. Bryukhomitsky Yuriy Anatoly – Federal State-Owned Autonomy Educational Establishment of Higher Vocational Education “Southern Federal University” e-mail: [email protected]; 2, Che- khov street, Taganrog, 347928, Russia; phone: +78634371905; the department of security in data processing technologies; associate professor. Makarevich Oleg Borisovich – e-mail: [email protected]; phone: +78634312018; the department of security in data processing technologies; head of the department.

УДК 004.056.5, 004.89

А.М. Цыбулин, М.Н. Свищева СИСТЕМНЫЙ ПОДХОД К ПОВЫШЕНИЮ ЭФФЕКТИВНОСТИ БОРЬБЫ С ИНСАЙДЕРСКОЙ ДЕЯТЕЛЬНОСТЬЮ ПОЛЬЗОВАТЕЛЕЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ ОРГАНИЗАЦИИ

Предлагается системный подход к повышению эффективности борьбы с инсайдер- ской деятельностью пользователей. Контролируется эффективность работы пользова- телей с любой информацией в течение рабочего времени. Оценка эффективности работы персонала имеет своей целью сопоставить реальное содержание, качество, объемы и ин- тенсивность труда персонала с установленными нормами. Для противодействия утечкам информации по вине внутренних нарушителей разработан программный комплекс, кото-

25 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

рый позволяет выявить потенциально опасные действия пользователей, оценить эффек- тивность выполнения ими должностных обязанностей и предотвратить утечку конфи- денциальной информации. Изложены результаты апробации данного программного ком- плекса. Проведенные экспериментальные исследования показали, что программный ком- плекс достоверно определяет пользователей, которые нарушают установленную политику безопасности, и предложенные им рекомендации позволяют повысить эффективность их работы. Эффективность работы удалось повысить на 12 %, за счет блокирования инсай- дерской деятельности пользователей. Атака; инсайдерская деятельность; информационная безопасность; инвентариза- ция; эффективность работы пользователя.

A.M. Tsybulin, M.N. Svishcheva SYSTEMS APPROACH TO IMPROVE THE EFFICIENCY AGAINST INSIDER USERS IN THE ORGANIZATION'S INFORMATION SYSTEMS

Systematic approach to improving the effectiveness of a struggle against insider activities of the users is suggested in this article. The effectiveness of users’ work with any information during working hours is controlled. Employee performance evaluation aims to compare the actual content, quality, volumes and intensity of work of the personnel with the established norms. To counter the information leaks through the fault of insiders software complex that enables to identify a potentially hazardous actions of users, to evaluate the effectiveness of their functions implementation and to prevent leakage of confidential information has been developed. The results of this software package approbation are presented. The experimental researches have shown, that the program complex reliably identifies users who violate the established security policy and its proposed recommendations allow improving the efficiency of their work. Efficiency was increased by 12 %, by blocking the insider activities of users. Attack; insider activity; information security; inventory; user efficiency. Результаты глобального исследования утечек корпоративной информации и конфиденциальных данных в 2012 г. «Аналитического Центра InfoWatch» показы- вают, что в мире зафиксировано и обнародовано в системах массовой информации 934 случая утечки конфиденциальных данных. Превышен на 16 % аналогичный показатель 2011 г. Отметим только два факта: до 38 % снизились случайные утеч- ки; с 9 % до 29 % повысилась доля утечек в госкомпаниях и муниципальных уч- реждениях. Эти результаты позволяют сделать вывод, что отсутствовал системный подход при проектировании систем защиты информации. Они были в основном ориентиро- ваны на защиту каналов связи и инфраструктуры. Основная цель системы защиты – это защита данных вне зависимости от их физического местонахождения. Системный подход к информационной безопасности требует определения ее субъектов, средств и объектов, источников опасности, направленности опасных ин- формационных потоков и принципов обеспечения информационной безопасности. Объектом информационной безопасности является информация (данные), информационные системы различного масштаба и назначения, которые обрабаты- вают, получают, передают и хранят информацию. Субъектами информационной безопасности следует считать пользователей, которые в рамках информационной системы работают с информацией, органы и структуры, которые занимаются ее обеспечением. Средства обеспечения информационной безопасности – это средства, с по- мощью которых осуществляются меры по защите информации, систем управле- ния, связи, компьютерных сетей, недопущению подслушивания, маскировке, пре- дотвращению хищения информации и т.д.

Раздел I. Концептуальные вопросы информационной безопасности

Источники опасности подразделяются на умышленные и на случайные. Умышленные воздействия (программные, технические и т.д.) осуществляются сознательно и целенаправленно, эти воздействия проводятся злоумышленниками и пользователями инсайдерами. Случайные воздействия (программные, технические и т.д.) осуществляются не сознательно, реализуются законными пользователями. К принципам обеспечения информационной безопасности относятся: закон- ность, баланс интересов личности, общества и государства, комплексность, сис- темность, интеграцию с международными системами безопасности, экономиче- скую эффективность и т.д. Доля умышленных и случайных утечек информации от собственных пользо- вателей в количественном и качественном (по сумме ущерба) значительно превос- ходит другие утечки. Распределения случайных и умышленных утечек данных по каналам за 2012 г. на основании аналитического отчета российской компании InfoWath представлены на рис. 1 [1].

Рис. 1. Динамика соотношения случайных и умышленных утечек, 2006–2012 гг.

Анализ диаграмм показывает рост количества случайных и умышленных утечек информации, а значит увеличение доли рабочего времени, которое исполь- зуют пользователи инсайдеры для передачи этих данных. Предлагается системный подход к повышению эффективности борьбы с ин- сайдерской деятельностью пользователей. Контролируется эффективность работы пользователей с любой информацией в течение рабочего времени. Оценка эффективности работы персонала имеет своей целью сопоставить ре- альное содержание, качество, объемы и интенсивность труда персонала с установ- ленными нормами. При оценке эффективности работы пользователя проводится анализ его дей- ствий. Для каждого пользователя предполагается наличие шаблона эталонных действий с файлами и каталогами, к которым пользователь имеет доступ, шаблона необходимого программного и аппаратного обеспечения на компьютере пользова- теля для выполнения им своей работы. Для оценки осуществляется контроль те- кущих действий и сравнение с эталонным шаблоном. Таким образом, анализ дей-

27 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

ствий пользователя позволяет оценить распределение рабочего времени, выявить среди них несанкционированные и перекрыть потенциально возможные каналы утечки информации. В среднем пользователь при восьмичасовом рабочем дне согласно ст. 108 Трудового Кодекса Российской Федерации имеет право на перерывы для отдыха и питания от 30 минут до 2 часов, то есть время отдыха пользователя может зани- мать до 25 % всего рабочего времени [2]. При оценке эффективности работы каждого пользователя оценивается, сколько времени он тратит на выполнение своих должностных обязанностей и соответствует ли данная величина нормативам. При оценке эффективности E предполагается наличие некоторого эталонного образца работы пользователя, сравнивая с которым можно сделать вывод об эф- фективности работы пользователя и его проблемных характеристиках работы [3]. Эталонная модель эффективности работы каждого пользователя в инфор- мационной системе представляется в виде следующего кортежа: (1) где – требования к количеству выполненных работ, – требования к качеству выполненных работ, – требования к операциям и действиям пользователя, – требования к длительности рабочего времени пользователя. Аналогичным образом описывается текущая эффективность работы i-го пользователя , параметры характеризуют текущие значения: (2) Путем сопоставления кортежа (1) и кортежа (2) получаем следующий кортеж:

Расчет показателей эффективности осуществляется следующим образом: 1. Оценка полезности использования рабочего времени (в процентах):

где – время, затраченное пользователем на выполнение своих должностных обя- занностей, – нормативное время работы пользователя. является суммарным временем, затраченным пользователем на работу. Tt = Te +Tu, где Te – это полезное время, в течение которого пользователь решал функциональ- ные задачи; Tu – это бесполезное время, в течение которого пользователь работал как инсайдер, решал другие задачи. Все множество действий, выполняемых пользователем, разделяется на два подмножества: разрешенных и запрещенных операций. Тогда общее бесполезное время определяется как:

где n – общее количество задач, которые должен решить пользователь в ходе работы,

Время, затраченное на работу, определяется как: . 2. Относительное количество выполненных работ за время :

где – текущее количество выполненных работ, – требуемое количество вы- полненных работ;

Раздел I. Концептуальные вопросы информационной безопасности

3. Относительное качество выполненных работ за время :

где – требуемое качество выполненных работ, – текущее качество выпол- ненных работ; 4. Требования к операциям и действиям пользователя за время :

Действия пользователя в ходе работы можно оценить исходя из содержания журналов безопасности Windows 7 и используемого оборудования пользователем. Для формирования эталонного значения данного параметра проводится инвента- ризация программных и аппаратных средств, которая определяет их исходные свойства, а так же определяется перечень программ и ресурсов, необходимых пользователю для выполнения работ [4]. Таким образом, действия пользователя описываются в виде кортежа:

где S – перечень программного обеспечения, установленного на рабочем компьюте- ре пользователя, H – перечень аппаратного обеспечения и его конфигурация, уста- новленного на рабочем компьютере пользователя, – перечень программного обеспечения, необходимого для работы пользователю, – перечень аппаратного обеспечения, необходимого для работы пользователю, I – перечень информацион- ных ресурсов, необходимых пользователю для работы и создаваемых в ходе работы. Таким образом, эффективность работы пользователя может быть определена на основе сравнения текущих значений параметров кортежа (2) с эталонными значениями кортежа (1). Задача оценки эффективности является многокритериальной оптимизаци- онной задачей следующего вида: max , max Q, max C, min P. Сведем ее к однокритериальной оптимизационной задаче, выделив в качестве основного показателя E. Остальные переводятся в разряд ограничений: , при ограничениях:

Данная задача эквивалентна следующей задаче: , при ограничениях

где – бесполезное время, в течение которого пользователь решал другие задачи, , , – допустимое относительное отклонение соответственно количество и качество выполненных работ, n – количество бесполезных работ. Предложенная математическая модель позволяет оценить эффективность ра- боты i-го пользователя. Для реализации разработанной математической модели был разработан про- граммный комплекс [5, 6], архитектура которого представлена на рис. 2.

29 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Он включает в себя клиентскую и серверную части. Клиентская часть уста- навливается на машину пользователя и осуществляет сбор характеристик работы контролируемого пользователя. В состав клиентской части входят следующие мо- дули: «Инвентаризация программных ресурсов», «Инвентаризация аппаратных ресурсов», «Ввод характеристик работы пользователя», «Определение доступных пользователю ресурсов», «Аудит текущих действий пользователя», «Работа с ба- зой данных результатов проверок», «Связь с сервером».

Сервер

Модуль управления (пользовательский интерфейс)

Модуль «Ввод Модуль Модуль «Модуль Модуль «Оценка требуемых «Формирование формирование отчета, эффективности характеристик работы шаблона эталонной выдача работы пользователя» пользователя» работы пользователя» рекомендаций»

Модуль «Работа с БД Модуль «Работа с БД шаблонов» результатов проверок»

БД шаблонов Модуль «Связь с БД результатов эталонной клиентом» проверок работы

Клиент

Модуль управления (пользовательский интерфейс)

Модуль Модуль Модуль «Определение Модуль «Аудит «Инвентаризация «Инвентаризация доступных текущих действий программных аппаратных средств » пользователю пользователя» средств» ресурсов»

Модуль «Ввод Модуль «Работы с БД характеристик работы результатов пользователя» проверок»

Модуль «Связь с БД результатов сервером» проверок

Рис. 2. Архитектура программного комплекса для оценки эффективности работы персонала

Раздел I. Концептуальные вопросы информационной безопасности

В состав серверной части входят следующие модули: «Ввод требуемых ха- рактеристик работы пользователя», «Формирование шаблона эталонной работы пользователя», «Оценки эффективности работы пользователя», «Формирование отчета, выдача рекомендаций», «Работа с базой данных шаблонов», «Работа с ба- зой данных результатов проверок», «Связь с клиентом». Все модули реализованы в виде интеллектуальных агентов, которые основе своих знаний проводят анализ эффективности работы пользователей и выявляют какую часть рабочего времени они использовали на инсайдерские действия. Для апробации программного комплекса были проведены эксперименталь- ные исследования в рамках опытной эксплуатации в ООО «Региональный аттеста- ционный центр». Задачами четырех экспериментальных исследований являлось: 1) формирование шаблона эталонной работы пользователя; 2) оценка эффективности работы пользователя; 3) выдача рекомендаций для повышения эффективности работы персонала; 4) анализ результатов экспериментальных исследований. Были проведены 4 эксперимент. Эксперимент 1 «Формирование шаблона и оценка эффективности работы пользователя, не нарушающего политику безопасности организации». Пользователь должен за 8 часов рабочего времени должен выполнить 100 до- кументов с заданным качеством «Хорошо». Перерывы на отдых должны состав- лять не более 2 часа. При этом не модифицировать программного и аппаратного обеспечения ИС и не использовать запрещенные операции. Задача: проверка работоспособности разработанного программного комплек- са, а также проверка достоверности оценки эффективности работы пользователя, не нарушающего политику безопасности организации. Эксперимент 2 «Формирование шаблона и оценка эффективности группы пользователей, при условии, что отдельные пользователи нарушают политику безопасности». Время наблюдения и требования к работе пользователей аналогичны первому эксперименту. Пользователи совершали следующие нарушения:  User1 – установка нового программного обеспечения;  User2 – запуск запрещенных приложений;  User3 – замена компонентов аппаратного обеспечения;  User4 – отсутствуют нарушения;  User5 – отсутствуют нарушения. Задача: оценка эффективности работы пользователей, а так же рекомендаций, которые выданы пользователю для повышения эффективности его работы. Эксперимент 3 «Формирование шаблона и оценка эффективности группы пользователей, при условии, что они выполняют предложенные рекомендации, предложенные в эксперименте 2». Задача: проверка достоверности оценки эффективности работы пользовате- лей, а так же оценка влияния рекомендаций, которые выданы пользователю, на изменение качества его работы; оценка изменений в работе пользователей. На рис. 3 приведены результаты экспериментальных исследований. Данная диаграмма отражает соответствие характеристик пользователей эталонным значе- ниям до и после применения рекомендаций. В результате анализа было выявлено, что пользователь 1 установил неразре- шенное программное обеспечение, пользователь 2 модифицировал аппаратное обес- печение, пользователь 3 запускал запрещенные для него приложения, а пользовате- ли 4 и 5 выполнял работу несоответствующего качества. Затем пользователям были выданы рекомендации для повышения эффективности их работы. Из приведенных данных видно, что предложенные рекомендации позволили повысить эффектив- ность работы пользователей до заданного уровня.

31 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Рис. 3. Результаты экспериментов

Проведенные экспериментальные исследования показали, что программный комплекс достоверно определяет пользователей, которые нарушают установлен- ную политику безопасности и предложенные им рекомендации позволяют повы- сить эффективность их работы. Эффективность работы удалось повысить на 12 %, за счет блокирования инсайдерской деятельности пользователей. Практическая значимость заключается в том, что выявляются несанкциони- рованные действия пользователя с данными и блокируются возможные утечки информации. Критерии, лежащие в основе оценки, позволяют каждого пользова- теля оценить объективно и предложить рекомендации по повышению эффектив- ности его работы.

Раздел I. Концептуальные вопросы информационной безопасности

БИБЛИОГРАФИЧЕСКИЙ СПИСОК 1. Исследование утечек информации из компаний и госучреждений России 2012 [элек- тронный ресурс] // InfoWatch [Офиц. сайт]. URL: http://www.infowatch.ru/analytics/ reports/3073 (дата обращения 03.12.13). 2. Трудовой кодекс Российской Федерации от 30.12.2001 N 197-ФЗ [электронный ресурс] // КонсультантПлюс. URL: http://www.consultant.ru/popular/tkrf/ (дата обращения 03.12.13). 3. Тененко М.И., Пескова О.Ю. Анализ рисков информационной безопасности // Известия ЮФУ. Технические науки. – 2011. – № 12 (125). – C. 49-58. 4. Методы мониторинга и обеспечения безопасности для поддержания работоспособности корпоративной сети [электронный ресурс] // SecurityLab [Офиц. сайт]. URL: http://www.securitylab.ru/analytics/301808.php (дата обращения 03.12.13). 5. Никишова А.В. Архитектура типовой информационной системы для задачи обнаруже- ния атак // Известия ЮФУ. Технические науки. – 2011. – № 12 (125). – C. 104-110. 6. Цыбулин А.М. Архитектура автоматизированной системы управления информационной безопасностью предприятия // Известия ЮФУ. Технические науки. – 2011. – № 12 (125). – C. 58-64. Статью рекомендовал к опубликованию д.т.н., профессор О.Б. Макаревич. Цыбулин Анатолий Михайлович – Волгоградский государственный университет; e-mail: [email protected]; 400062, г. Волгоград, пр. Университетский, 100; тел.: 88442460368; кафедра информационной безопасности; зав. кафедрой. Свищева Марина Николаевна – e-mail: [email protected]; кафедра информационной безопасности; аспирантка. Tsybulin Anatoly Mihaylovich – Volgograd State University; e-mail: [email protected]; 100, Universitetsky pr., Volgograd, 400062, Russia; phone: +78442460368; the department of informational security; head of department. Svishcheva Marina Nikolaevna – e-mail: [email protected]; the department of informational security; postgraduate student.

УДК 004.089

П.М. Иванов, О.Б. Макаревич, З.В. Нагоев АВТОМАТИЧЕСКОЕ ФОРМИРОВАНИЕ КОНТЕКСТА СИТУАЦИЙ В СИСТЕМАХ ОБВОЛАКИВАЮЩЕЙ БЕЗОПАСНОСТИ НА ОСНОВЕ МУЛЬТИАГЕНТНЫХ КОГНИТИВНЫХ АРХИТЕКТУР*

Цель данной работы состоит в разработке метода формирования контекста теку- щей ситуации в системах обволакивающей безопасности на основе самоорганизации муль- тиагентной рекурсивной когнитивной архитектуры. Задача исследования состоит в раз- работке алгоритма формирования контекста текущей ситуации в распределенной муль- тиагентной системе принятия решений на основе ее формального описания с помощью рекурсивных детерминированных абстрактных автоматов. Предложено решение задач ситуативного анализа и синтеза интеллектуального поведения в системах обволакиваю- щей безопасности строить на основе самоорганизующихся мультиагентных рекурсивных когнитивных архитектур. Разработана формализация таких архитектур на основе рекур- сивных детерминированных абстрактных автоматов. Задача синтеза интеллектуального управления системой обволакивающей безопасности сведена к информированному поиску пути, субоптимального по критерию максимизации энергии, в дереве решений, глубина

* Работа выполнена при поддержке грантов РФФИ №№ 12-07-00744, 13-07-01002, Про- граммы Президиума РАН «Фундаментальные проблемы модернизации полиэтнического региона в условиях роста напряженности» № 32.

33 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

которого равна горизонту планирования агента. Показано, что время выполнения поиско- вого алгоритма может быть сведено к линейному. Разработана схема формирования кон- текста текущей ситуации на основе семантически нагруженного мультиагентного алго- ритма обработки входной неструктурированной информации. Обволакивающий интеллект; системы обволакивающей безопасности; мультиа- гентные рекурсивные когнитивные архитектуры; абстрактные детерминированные ав- томаты; синтез оптимального управления.

P.M. Ivanov, O.B. Makarevich, Z.V. Nagoev AUTOMATIC FORMING OF CONTEXT OF SITUATIONS IN AMBIENT SECURITY SYSTEMS ON A BASIS OF MULTIAGENT COGNITIVE ARCHITECTURES

The goal of this investigation is the working out the method of forming the context of on- going situation in systems of ambient security on a basis of self-organization of multiagent recursive cognitive architecture. The task of the investigation is working out an algorithm of forming the context of on-going situation in a distributed decision-making system of a basis of the formal description of the latter with the help of recursive deterministic abstract automata. We propose to build the decision of tasks of situational analysis and synthesis of intelligent behav- ior in systems of ambient security on a basis of self-organizing multiagent recursive cognitive architectures. Formalization of such architectures is worked out on a basis of recursive determined abstract automata. The task of synthesis of intelligent control over the system of ambient security is reduced to an informed search of a path, that is suboptimal along the criterion of maximization of energy, in a decision tree, the depth of which equals the planning horizon. The time of execution of the search algorithm is shown to be linear. The scheme of forming of the context of the current situation on a basis of semanti- cally charged multiagent algorithm of processing of input non-structured information is worked out. Ambient intelligence; systems of ambient security; multiagent recursive cognitive architectures; abstract deterministic automata; aynthesis of optimal control. Введение. Системы обволакивающей безопасности (СОБ) являются развитием концепции обволакивающего интеллекта в части применения последнего к предмет- ной области защиты информации и обеспечения безопасности в целом [1]. Принци- пиальное значение для реализуемости СОБ имеет задача автоматического форми- рования контекста текущей ситуации на основе использования устройств различ- ной степени интеллектуальности, распределенных вычислительных мощностей, удаленных сенсоров и исполнительных механизмов [2]. Центральным интегрирую- щим звеном системы управления, обеспечивающей такую функциональность, явля- ется распределенный искусственный интеллект, выполняющий роль логической надстройки над человеко-центрическим (human-centric) инфраструктурным базисом. В силу сложности, неструктурированности, нечеткости, гетерогенности, значитель- ных объемов входных информационных потоков, интеллектуальный анализ ситуа- ций с целью построения текущего контекста в СОБ представляет собой сложную в общем случае не решенную задачу. Основной методологической проблемой, на наш взгляд, здесь является разработка формальных систем рассуждений без учета сис- темного подхода к изучению и моделированию психических процессов, связанных с анализом сложных ситуаций. Мы предлагаем строить распределенную подсистему формирования текущего контекста в СОБ на основе когнитивного моделирования и процессов мультиагентной самоорганизации. Как показано в [2–5], применение так называемой мультиагентной рекурсив- ной когнитивной архитектуры (МуРКА) позволяет рассматривать синтез интел- лектуального решения как процесс, каждая часть которого детерминирована внутренними механизмами отдельных когнитивных блоков и общесистемными целями. В работах [2, 5, 6] для формализации МуРКА предлагается использовать рекурсивный детерминированный абстрактный автомат [3], отражающий рекур-

Раздел I. Концептуальные вопросы информационной безопасности

сивную структуру и мультиагентный характер архитектуры. В [2] дается описание алгоритмов, задающих функции переходов и функции выходов таких автоматов, позволяющих им участвовать в процессах самоорганизации системы, обмена зна- ниями между агентами и обучения. Цель данной работы состоит в разработке метода формирования контекста текущей ситуации в СОБ на основе самоорганизации мультиагентной рекурсивной когнитивной архитектуры. Задача исследования состоит в разработке алгоритма формирования контек- ста текущей ситуации в распределенной мультиагентной системе принятия реше- ний на основе ее формального описания с помощью рекурсивных детерминиро- ванных абстрактных автоматов. 1. Автоматное представление агента и контекстный анализ. Вопросы применения теории автоматов для описания различных систем, в том или ином виде эксплуатирующих идеи агентности и автономности вычислителей рассмотре- ны в [7]. Одним из наиболее строгих формальных подходов к автоматному описа- нию МАС, на наш взгляд, можно считать так называемое инсерционное моделиро- вание [8]. Одним из наиболее перспективных представляется подход к формализа- ции агентов и МАС на основе алгебры алгоритмов [9–11]. 2. Рекурсивные детерминированные автоматы в реальной среде. Исполь- зуем в качестве формальной основы описания системы управления агента детер- минированный абстрактный автомат:

, (1)

где – множество состояний системы, – входной алфавит, – выходной алфа-

вит, – функция переходов автомата,

– функция выходов автомата. Здесь –

слово входного алфавита , а – слово выходного алфавита. Таким образом,

автомат распознает слова в алфавите и в соответствии со своим состоянием

, выполняет действие для перехода в состояние и выполнения во внеш-

ней среде действий . Функции и строятся с учетом энергии состояний и действий. Функционирование такого автомата можно описать соотношениями:

Элементарным агентом, или агентом ранга 0 (нулевого ранга), будем назы-

вать систему , состоящую из генома агента , множест- ва рецепторов агента и множества эффекторов агента . Будем считать, что множество рецепторов является структурной частью агента

, порождающей все слова входного алфавита , а множество эффекторов – структурная часть агента, порождающая все слова выходного алфавита . -й

агент ранга (уровня в МуРКА) определяется следующим образом:

Здесь – приобретенные знания, – «встроенные» агенты нижних ран- гов. Множества и основываются на системах продукций. Будем считать, что

вместе они образуют базу знаний агента: . Обозначим через j-ю ситуацию, в которой агент находится в теку-

щий момент времени , первое состояние в составе которой сформировано в мо- мент времени . Состояние можно определить как ситуацию , сформиро-

вавшуюся за один шаг времени . В свою очередь, ситуации состоят из последо- вательных состояний:

35 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

В соответствии с вышеприведенными определениями, будем считать, что си-

туации соответствует множество пятерок:

Это множество, описывающее состояния автомата и действия, выполняемые автоматом в соответствии с функциями переходов и выходов на отрезке вре- мени , может быть интерпретировано как набор знаний, которые агент мо-

жет применить в данной ситуации .

Будем считать, что автомат – это система управления агентом , осно-

ванная на базе знаний . Входы будем рассматри-

вать в качестве внешней сенсорики, которая генерируется экстероцепторами, а

– как внутреннюю сенсорику, генерируемую интероцепторами. Выходы же и

новые состояния будем считать генерируемыми действиями . Состояние будем интерпретировать как логическое объединение

текущего состояния и входа автомата. Действие агента – как объединение нового состояния и выхода автомата:

Учитывая вышеприведенные обозначения, интерпретации и переобозначе- ния, можно определить продукционные правила, составляющие структурно- функциональную единицу – знание – в составе БЗ агента, следующим образом:

Здесь – начальная ситуация, – конечная (желательная) ситуации,

– действие, которое переводит агента из начальной ситуации в конечную.

Будем считать, что каждое состояние агента характеризуется энергией .

Пусть в начальный момент времени некоторой ситуации агент обладает

энергией . Будем считать, что для перехода на следующий такт времени

агенту необходимо затратить некоторую фиксированную энергию перехода , а для совершения действия , которое переводит агента из

состояния в состояние за время , агент должен затратить помимо

энергии перехода дополнительную энергию действия . Тогда агент ,

совершивший для перехода из состояния в состояние действие , об-

ладает энергией: (2)

Раздел I. Концептуальные вопросы информационной безопасности

где – время развития (количество дискретных шагов времени) ситуации, – чистое приобретение/потеря энергии в результате выполнения дейст-

вия – энергетический эффект действия .

Будем рассматривать выражение (2) как целевую функцию в задаче поиска субоптимального управления интеллектуальным поведением агента по критерию максимизации энергии. По нашему мнению, решение этой задачи определит харак- тер процессов самоорганизации в МуРКА, которые могут быть интерпретированы с точки зрения перехода системы из нестабильных состояний, связанных с некото- рыми внешними целевыми функциями, – например, из состояний, характеризую- щихся нарушением безопасности объектов, или систем, – в стабильные состояния, характеризующиеся подпороговыми значениями индикаторов безопасности. Необходимо найти оптимальное управление (поведение) , которое син-

тезирует последовательность состояний , таких, что:

(3)

Применение МуРКА позволяет выполнять синтез оптимального управления

на основе в задаче (3) за время , что позволяет эф- фективно применять его в задачах ситуационного анализа. Группа распределенных агентов, взаимодействующих на основе коллектив- ной оптимизации по локальным критериям максимизации энергии, может быть инкапсулирована в одного большого агента – функциональную систему, в которой все внутренние агенты (агенты нижних рангов) ведут себя согласовано для кор- ректной обработки текущего контекста (рис. 1).

Рис. 1. Семантизация символов в восходящих путях интеллектона

Таким образом, процесс формирования контекста текущей ситуации на осно- ве рекурсивных детерминированных абстрактных автоматов связан с эффектом «инкапсуляции и семантизации символов», который проявляется в работе МуРКА и связан с тем, что агенты, на основе локальных критериев оптимизации, реагиру- ют только на события, имеющие принципиальное значение, что отражено в их влиянии на целевой параметр энергии. Заключение. Организация сложного процесса рассуждения, или формирова- ние интеллектуального поведения макросистемы на верхних уровнях достигается за счет мультиагентного поиска в пространстве состояний системы распределен- ного искусственного интеллекта, ответственной за принятие решений. Динамика

37 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

системы обеспечивается организацией когнитивного тракта интеллектуального агента в составе МуРКА, ориентированной на поиск локальных максимумов целе- вого критерия, связанных с состоянием защищенности распределенных систем.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК 1. Башоров З.А., Нагоев З.В. Мультиагентная система обволакивающей безопасности на основе автономных программных агентов и мобильных роботов // Материалы XI Меж- дународной научно-практической конференции "Информационная безопасность 2010". Ч. 1. – Таганрог: Изд-во ТТИ ЮФУ, 2010. – C. 153-157. 2. Иванов П.М., Нагоев З.В. Самоорганизующаяся система принятия решений на основе автоматного представления рекурсивной мультиагентной когнитивной архитектуры для систем обволакивающего интеллекта // Известия КБНЦ РАН. – 2012. – № 5 (49). – С. 30-37. 3. Кудаев В.Ч., Нагоев З.В., Нагоева О.В. Рекурсивные агенты для задач моделирования интеллектуального принятия решений на основе самоорганизации мультиагентных ког- нитивных архитектур // Известия КБНЦ РАН. – 2012. – № 4 (48). – C. 50-57. 4. Нагоев З.В. Формализация агента для задачи синтеза интеллектуального поведения на основе рекурсивной когнитивной архитектуры // Материалы международного конгресса по интеллектуальным системам и информационным технологиям IS&IT11, 2-9 сентября, Дивноморское, 2012. – Т. II. 5. Нагоев З.В. Интеллектуальная система на основе фрактальной мультиагентной нейрон- ной пластичной когнитивной архитектуры // Материалы международного конгресса по интеллектуальным системам и информационным технологиям IS&IT11, 2-9 сентября, Дивноморское, 2011. – Т. III. – С. 5-10. 6. Иванов П.М., Нагоев З.В. Автоматное описание мультиагентной рекурсивной когнитив- ной архитектуры для задачи формализации процесса интеллектуального принятия ре- шений // Материалы третьей международной конференции «Автоматизация управления и интеллектуальные системы и среды», 9-15 октября. – Махачкала: Изд-во КБНЦ РАН, 2012. – Т. 1. – С. 7-14. 7. Городецкий В.И., Карсаев О.В., Самойлов В.В., Серебряков С.В. Прикладные много- агентные системы группового управления // Искусственный интеллект и принятие ре- шений. – 2009. – № 2. – C. 3-24. 8. Капитонова Ю.В., Летичевский А.А. Инсерционное моделирование // Праці міжнар. конф. «50 років Інституту кібернетики ім. В.М. Глушкова НАН України». – Київ: Вид-во ІК НАНУ, 2008. – С. 293-301. 9. Глушков В.М. Введение в кибернетику. Печатается по постановлению научного совета по кибернетике АН УССР. – Киев: изд-во АН УССР, 1964. 10. Иванов П.М. Автоматно-алгебраические модели в информационных технологиях // Мате- риалы II-й Международной конференции «Автоматизация управления и интеллектуальные системы и среды», Красная Поляна, 23-29 декабря 2011. – Изд-во КБНЦ РАН. Т. I. – С. 4-15. 11. Иванов П.М. Алгебраическое моделирование сложных систем. – М.: Наука-«Физматлит», 1996. – 272 с. Статью рекомендовал к опубликованию к.ф.-м.н., доцент М.М. Кармоков. Иванов Петр Мацович – Институт информатики и проблем регионального управления КБНЦ РАН; e-mail: [email protected]; 360000, КБР, г. Нальчик, ул. И. Арманд, 37-а; тел.: 88662426562; директор; д.т.н. Нагоев Залимхан Вячеславович – e-mail: [email protected]; тел.: 88662426552; к.т.н.; зав. отделом мультиагентных систем. Макаревич Олег Борисович – Федеральное государственное автономное образовательное учреждение высшего профессионального образования «Южный федеральный универси- тет»; e-mail: [email protected]; г. Таганрог, ул. Чехова, 2, корпус "И"; тел.: 88634312018; ка- федра безопасности информационных технологий; зав. кафедрой; д.т.н. Ivanov Peter Matsovich – Institute of Computer Science and Problems of Regional Management of KBSC of RAS; e-mail: [email protected]; 37-a, I. Armand's street, Nalchik, 360000, КBR; phone: +78662426562; director; dr. of eng. sc.

Раздел I. Концептуальные вопросы информационной безопасности

Nagoev Zalimhan Vyacheslavovich – e-mail: [email protected]; phone: +78662426552; cand. of eng. sc.; head of the department of multiagent systems. Makarevich Oleg Borisovich – Federal State-Owned Autonomy Educational Establishment of Higher Vocational Education “Southern Federal University”; e-mail: [email protected]; 2, Chekhov street, build. "I", Taganrog, Russia; phone: +78634312018; the department of security in data processing technologies; head of department; dr. of eng. sc.

УДК 004.75

О.Ю. Пескова, К.Е. Степовая ОСОБЕННОСТИ АНАЛИЗА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОБЛАЧНЫХ СИСТЕМ*

Приведена классификация облачных сервисов. Показаны группы требований к облач- ным системам. Описаны референтная архитектура облачных вычислений NIS, модели сер- виса и развертывания облачных систем, представленные в данной модели. Рассмотрены основные проблемы обеспечения безопасности в облачных сервисах. Предложена класси- фикация проблем информационной безопасности облачных технологий. Перечислены орга- низации, занимающиеся вопросами стандартизации обеспечения безопасности облачных систем. Разработан перечень требований к обеспечению безопасности для различных классов облачных систем по следующим направлениям: Классификация и управление акти- вами, Вопросы безопасности, связанные с персоналом, Физическая защита ЦОД, Управле- ние передачей данных и операционной деятельностью, Контроль доступа, Мониторинг доступа и использования системы, Разработка и обслуживание систем, Меры по обеспе- чению непрерывной работы системы, Соответствие требованиям. По каждому требова- нию в рамках разрабатываемой методики конкретизированы следующие вопросы: Модель развертывания, для которой данный критерий критичен, Цель применения рекомендаций, Угрозы, которые могут быть ликвидированы при применении данных рекомендаций. Облачные системы; защищенность; требования к обеспечению безопасности.

O.Y. Peskova, K.E. Stepovaja FEATURES OF THE ANALYSIS OF INFORMATION SECURITY OF CLOUDY SYSTEMS

The paper provides a classification of cloud services, groups of requirements to cloudy systems are shown, and describes the architecture of cloud computing of NIS, model of service and the expansions of cloudy systems presented in this model. The main problems of ensuring safety in cloudy services are considered. Classification of problems of information security of cloudy technologies is offered. Lists the organizations dealing with issues of standardization of safety of cloudy systems. A list of requirements to safety is developed for various classes of cloudy systems in the following directions: Classification and asset management, Safety issues related with the personnel, Physical protection of data center, Management of data transmission and operational activity, Access control, Monitoring of access, Development and maintenance of systems, Measures for ensuring continuous work of system, Compliance to requirements. According to each requirement within a developed methodology the following questions are specified: Deployment model for which this criterion is critical, Objective application of recommendations, Threats can be eliminated by the application of these recommendations. Cloud systems; security; safety requirements.

* Работа поддержана грантом РФФИ 13-07-00244-а.

39 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

1. Требования к облачным сервисам. Облачные сервисы все активнее ис- пользуются пользователями для своих личных и рабочих целей. Например, многие уже не представляют эффективной работы без облачных хранилищ данных (dropbox, google drive и многие другие), используя их не только для хранения ко- пий файлов но и для реализации простых, но при этом достаточно эффективных схем совместной работы с документами. Для людей, чья жизнь и работа связаны с обработкой большого объема информации, мощным инструментом стали облач- ные системы работы сданными (одним из наиболее функциональных сервисов среди подобных систем можно назвать Evernote). При этом даже для частных лиц вопросы обеспечения безопасности важны и во многом влияют на выбор конкрет- ных поставщиков услуг. В последние годы многие организации тоже задумывают- ся над возможностью перевода (полностью или частично) технологической цепоч- ки обработки информации в облака, и для них вопросы защиты целостности и конфиденциальности данных (а также надежности системы в целом) выходят на первое место. По ряду опросов, проведенных в западных компаниях, от 35 до 75 % органи- заций используют облачные технологии в том или ином виде, причем до 70 % из них используют больше одного облака. По данным прошлогоднего отчета State of the Cloud компании RightScale, 33 % опрошенных отметили, что основным пред- метом беспокойства при принятии решения об использовании облака была безо- пасность; сейчас этот показатель снизился почти вдвое, до 18 % [1]. Тем не менее, до сих пор еще нет четкого и однозначного определения, какие системы относятся к облачным. В 2008 году был опубликован документ IEEE «ORGs for Scalable, Robust, Privacy-Friendly Client Cloud Computing» [2], в котором дается следующее определение (приведем наиболее распространенный перевод): «Облачная обработка данных – это парадигма, в рамках которой информация по- стоянно хранится на серверах в интернет и временно кэшируется на клиентской стороне, например, на персональных компьютерах, игровых приставках, ноутбу- ках, смартфонах и т.д.». Это определение слишком обобщено, поэтому нуждается в дополнительных уточнениях. Чаще всего говорят о следующем наборе требований к облачным системам: 1. Сетевой доступ к сервисам обеспечивается с использованием стандартных протоколов –обычных и защищенных (универсальность доступа). 2. Объем предоставляемых услуг зависит от потребностей клиента (равно как и от его возможностей), при этом объем и перечень предоставленных услуг может быть изменен клиентом самостоятельно, в идеале без специ- альных обращений к провайдеру услуг (самообслуживание по требова- нию и эластичность услуг). 3. Оборудование, обеспечивающее обработку и хранение данных, не выде- ляется целиком и полностью под отдельного клиента, а обеспечивает ра- боту пула клиентов, перераспределяя мощности с учетом их текущих по- требностей (объединение ресурсов). 4. К оборудованию и технологическим процессам обработки данных предъ- являются значительно более жесткие требования с точки зрения надежно- сти и отказоустойчивости (высокий уровень доступности, низкие риски неработоспособности). 2. Требования к облачным сервисам. Свои рекомендации по организации облачных вычислений предложил National Institute of Standarts and Technology (NIST) [3], [4]. Референтная (эталонная) архитектура облачных вычислений NIST (рис. 1, [4]) представляет:

Раздел I. Концептуальные вопросы информационной безопасности

 три модели сервиса (Программное обеспечение как услуга -Software as a Service (SaaS), Платформа как услуга – Platform as a service (PaaS), Ин- фраструктура как услуга – Infrastructure as a Service (IaaS));  четыре модели развертывания (частное облако – private cloud, общее обла- ко – community cloud, публичное облако – public cloud, гибридное облако – hybrid cloud);  пять основных характеристик (on-demand self-service, broad network access, resource pooling, rapid elasticity, measured service). В данной архитектуре представлены 3 типа моделей сервиса: 1. IaaS (Infrastructure as a service - Инфраструктура как сервис/услуга). Пользователь арендует инфраструктуру в целом, а не конкретный набор ус- луг, т.е виртуальный сервер с адресом или набором адресов и часть системы хра- нения данных. Управление службой осуществляется через специальный интерфейс (API). Клиент может устанавливать и запускать любое ПО, от операционных сис- тем до прикладных сервисов. Кроме того, клиент может управлять частью сетевых сервисов (например, межсетевым экраном). 2. PaaS (Platform as a service – Платформа как сервис/услуга). PaaS – это модель, при которой пользователю предоставляется установлен- ная, настроенная и готовая к работе виртуальная платформа из одного или не- скольких виртуальных серверов с операционными системами и специализирован- ными приложениями. Клиенты могут устанавливать на этой платформе приложе- ния – как собственные, так и сторонней разработки. Часто в состав платформы входят средства разработки и тестирования ПО. 3. SaaS (Software as a service – Программное обеспечение как сервис/услуга). Облачные решения SaaS позволяет удалённо пользоваться программным обеспечением провайдера с использованием различных клиентов. Поставщик раз- рабатывает приложение или набор приложений и предоставляет доступ к нему за абонентскую плату (абонентская плата может зависеть от набора клиентов и объе- ма данных, проходящих в через сервис провайдера). Все управление приложения- ми, в том числе обновление, модернизация и техническая поддержка, обеспечива- ется провайдером. Иногда к классической модели добавляют варианты, например DaaS (Data as a service – Данные как сервис/услуга, когда обеспечивается предоставление данных по требованию пользователя), Caas (Communication as a service – Ком- муникации как сервис/услуга, когда предоставляются услуги связи, чаще всего IP-телефония) и т.д. Существует несколько вариантов использования облачных систем: публич- ное облако, приватное облако, общее облако и гибридное облако, которые отли- чаются прежде всего тем, кому принадлежат используемые технологии и инфра- структура – пользователю или провайдеру [5]: 1. Публичное облако – доступ к технологиям имеет любой пользователь че- рез сетевые каналы передачи данных (обычно Интернет), инфраструктура принадлежит организации, которая это облако создала. Именно в этом ва- рианте вопросы обеспечения безопасности практически полностью возла- гаются на провайдера. 2. Приватные облака – облака, создаваемые в основном для нужд конкрет- ной организации. Инфраструктура может быть собственностью компании или арендоваться у провайдера, управление может осуществляться как са- мой организацией, так и провайдером, который обеспечивает ее обслужи-

41 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

вание. Этот подход позволяет организации максимально контролировать всю технологию работы с данными и обеспечить максимальную безопас- ность (естественно, при разработке и соблюдении соответствующей поли- тики безопасности). 3. Общее облако – инфраструктура принадлежит нескольким организациям, которые объединились для достижения какой-либо цели. Инфраструктура может управляться самими организациями или выделенным сервис- провайдером. 4. Гибридное облако – используется совокупность двух или более облаков с разными моделями внедрения, объединенные общей технологией или стандартом.

Рис. 1. Концептуальная диаграмма референтной архитектуры облачных вычислений

3. Проблемы обеспечения информационной безопасности в облачных сервисах. При перемещении данных и приложений в облака мы фактически ухо- дим от понятия периметра, на котором строится вся защита классических систем: защищаться теперь должен не периметр, не инфраструктура обработки, хранения и передачи данных, принадлежность которой может быть неочевидной, а сама ин- формация. Вопросы безопасности волнуют не только клиента – как провайдер бу- дет обращаться с его данными, но и провайдера – насколько можно доверять кли- енту, от каких внешних и внутренних угроз необходимо обеспечить защиту ин- фраструктуры. При этом основная доля рисков по защите данных ложится именно на провайдера – поставщика услуг. Можно выделить следующие группы проблем информационной безопасно- сти, возникающих при использовании облачных технологий, которые тормозят их внедрение: 1. Технологические и организационные проблемы:  необходимость изменения классических (изученных, отработанных и проверенных) подходов к обеспечению безопасности;  практически полное отсутствие соответствующих стандартов по безо- пасности (особенно в России);

Раздел I. Концептуальные вопросы информационной безопасности

 отсутствие методик оценки качества, оценки эффективности и оценки защищенности, сложность оценки рисков;  недоработанные модели угроз и модели нарушителя;  сложности в отслеживании причин нарушения безопасности;  небезопасные программные интерфейсы (API);  угроза завладения данными провайдером или его сотрудниками (ин- сайдерство) либо какой-либо третьей силой;  отсутствие либо недостаток контроля над серверами и технологиче- скими процессами;  сомнения в корректности результатов облачных вычислений;  специфические уязвимости, возникающие при использовании средств виртуализации в облаках: возможность несанкционированного взаимо- действия между хостами и виртуальными машинами, проблемы с изо- ляцией хостов и виртуальных машин, различные виды атак, исполь- зующих, в частности, уязвимости гипервизоров;  специфические требования к идентификации и аутентификации;  дополнительные проблемы защиты подключений узлов организации к серверам провайдера-поставщика услуг. 2. Юридические проблемы:  отсутствие стандартов и законодательных актов;  размытая область ответственности из-за динамически изменяющейся инфраструктуры. 3. Антропогенные проблемы:  психологические сложности из-за необходимости передачи данных сторонним компаниям;  сложность оценки уровня доверия провайдеров;  недоверие и опаска по отношению к новым технологиям;  боязнь сокращений IT-персонала, что может привести к повышению риска инсайдерства. 4. Организации, занимающиеся проблемами безопасности облачных сис- тем. Вопросами безопасности облачных систем занимается сразу несколько аль- янсов, наиболее авторитетным из которых считается Cloud Security Alliance (CSA), основанный в 2008 г. ведущими специалистами информационной безопасности предприятий, участвовавших в ассоциации Information Systems Security Association (ISSA), и ставящий своей целью распространение передового опыта по обеспече- нию безопасности при работе с облачными сервисами. В частности, этим альянсом был выпущен документ Security Guidance for Critical Areas of Focus in Cloud Computing – руководство по критически важным вопросам безопасного облачных вычислений. В Европе аналогичные функции выполняет организация Jericho Forum, создан- ная в 2004 г. как площадка для обсуждения проблем защиты данных, возникающих в связи с уходом развитием модели без защищаемого периметра (депериметризации). Jericho Forum работает прежде всего с архитектурой, ориентированной на сотрудни- чество (Collaboration Oriented Architecture, COA). С появлением облачных вычисле- ний Jericho Forum предложил руководящий документ Securely Collaborating in Clouds, в котором принципы COA распространены и на эту сферу [6]. Концепция облачных вычислений подвергалась активной критике, в частно- сти, со стороны сообщества свободного программного обеспечения, например, со стороны Ричарда Столлмана: «Использовать веб-приложения для своих вычисли- тельных процессов не следует, например, потому, что вы теряете над ними кон-

43 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

троль. И это не лучше, чем использовать любую проприетарную программу. Де- лайте свои вычисления на своём компьютере, используя программы, уважающие вашу свободу. Если вы используете любую проприетарную программу или чужой веб-сервер, вы становитесь беззащитными. Вы становитесь игрушкой в руках того, кто разработал это ПО» [7]. И эти опасения в целом оправданы, хотя инвестиции провайдеров облачных услуг в средства безопасности, как правило, гораздо выше, чем у непрофильных организаций, что в теории может привести к более высокому уровню защищенно- сти. Но здесь мы опять возвращаемся к вопросу оценки уровня доверия к провай- деру. Не случайно говорят о появлении новых видов безопасности: репутационной (reputation) и прогностической (predictive) безопасности. По словам Максима Эмма [5], директора департамента аудита компании Ин- формзащита, с точки зрения оценки провайдера облачных вычислений в области обеспечения нформационной безопасности этим провайдером и западными ком- паниями рекомендовано придерживаться определенной методологии: аудит по стандарту SAS 70 Type II (этот стандарт не является специализированным для об- лачных вычислений, но он стал основным в отсутствие соответствующих регла- ментирующих актов). Желательны сертификация провайдера по ISO 27001 или следование практикам ISO 27002. К формальным способам оценки безопасности, которые могут применять российские компании, относится аттестация по требова- ниям ФСТЭК, наличие сертифицированных средств защиты, наличие лицензий ФСТЭК и ФСБ, наличие сертификата EIA/TIA-492 для ЦОД. 5. Требования к обеспечению безопасности для различных классов об- лачных систем. Были проанализированы существующие базовые методики ана- лиза защищенности автоматизированных систем и сформулирован набор базовых требований к обеспечению безопасности облачных систем, краткий перечень ко- торых приведен ниже: 1. Классификация и управление активами:  классификация информации. Основные принципы классификации;  маркировка и обработка информации. 2. Вопросы безопасности, связанные с персоналом:  включение вопросов информационной безопасности в должностные обя- занности. Проверка персонала при найме и соответствующая политика;  соглашения о конфиденциальности. Условия трудового соглашения;  обучение и подготовка в области информационной безопасности;  реагирование на инциденты нарушения информационной безопасности и сбои. Информирование об инцидентах нарушения информационной безопасности. Информирование о сбоях ПО. 3. Физическая защита ЦОД:  охраняемые зоны. Периметр и контроль доступа в охраняемые зоны;  безопасность зданий, производственных помещений и оборудования;  выполнение работ в охраняемых зонах;  безопасность оборудования. Расположение и защита оборудования;  безопасность кабельной и электрической сети;  техническое обслуживание оборудования;  политика "чистого стола" и "чистого экрана";  вынос имущества, обеспечение безопасности оборудования, исполь- зуемого вне помещений организации. 4. Управление передачей данных и операционной деятельностью:  операционные процедуры и обязанности, их оформление;

Раздел I. Концептуальные вопросы информационной безопасности

 процедуры в отношении инцидентов нарушения информационной безопасности;  разграничение обязанностей;  разграничение сред разработки и промышленной эксплуатации;  управление средствами обработки информации сторонними лицами и/или организациями;  планирование производительности, нагрузки и приемка систем;  защита от вредоносного программного обеспечения. Мероприятия по управлению информационной безопасностью для борьбы с вредонос- ным программным обеспечением;  контроль изменений;  резервирование информации;  журналы действий оператора и регистрация ошибок;  управление сетевыми ресурсами и средства контроля сетевых ресурсов;  безопасность носителей информации;  использование сменных носителей компьютерной информации;  процедуры обработки информации;  безопасность системной документации;  соглашения по обмену информацией и программным обеспечением;  системы публичного доступа;  другие формы обмена информацией. 5. Контроль доступа:  требование бизнеса по обеспечению контроля в отношении логическо- го доступа;  регистрация пользователей;  контроль в отношении паролей пользователей;  идентификация и аутентификация пользователя;  аутентификация пользователей в случае внешних соединений;  аутентификация узла;  автоматическая идентификация и процедуры регистрации с терминала;  политика в отношении логического доступа;  контроль в отношении локального и сетевого доступа пользователей;  управление привилегиями и правами доступа пользователей;  обязанности пользователей;  защита портов диагностики при удаленном доступе;  принцип разделения в сетях;  контроль сетевых соединений;  управление маршрутизацией сети;  безопасность использования сетевых служб;  контроль доступа к операционной системе;  контроль доступа к приложениям;  ограничение доступа к информации;  использование системных утилит;  периоды бездействия терминалов;  ограничения подсоединения по времени;  изоляция систем, обрабатывающих важную информацию. 6. Мониторинг доступа и использования системы:  мониторинг доступа и использования системы;  регистрация событий;

45 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

 синхронизация часов;  работа с переносными устройствами и работа в дистанционном режиме;  мероприятия по обеспечению информационной безопасности при про- ведении аудита систем;  защита инструментальных средств аудита систем. 7. Разработка и обслуживание систем:  требования к безопасности систем;  анализ и спецификация требований безопасности;  безопасность в прикладных системах;  подтверждение корректности ввода данных;  подтверждение корректности данных вывода;  контроль обработки данных в системе;  меры защиты информации, связанные с использованием криптографии;  политика в отношении использования криптографии;  шифрование;  цифровые подписи и аутентификация сообщений;  сервисы неоспоримости;  управление ключами;  безопасность системных файлов;  безопасность в процессах разработки и поддержки;  технический анализ изменений в операционных системах;  процедуры контроля изменений;  контроль программного обеспечения, находящегося в промышленной эксплуатации;  контроль доступа к библиотекам исходных текстов программ;  ограничения на внесение изменений в пакеты программ;  скрытые каналы утечки данных и "троянские" программы;  разработка программного обеспечения с привлечением сторонних ор- ганизаций. 8. Меры по обеспечению непрерывной работы системы.  вопросы управления непрерывностью бизнеса;  непрерывность бизнеса и анализ последствий;  разработка и внедрение планов обеспечения непрерывности бизнеса;  структура планов обеспечения непрерывности бизнеса;  тестирование, поддержка и пересмотр планов по обеспечению непре- рывности бизнеса. 9. Соответствие требованиям:  соответствие требованиям законодательства;  защита учетных записей организации;  защита данных и конфиденциальность персональной информации;  предотвращение нецелевого использования средств обработки инфор- мации;  регулирование использования средств криптографии;  пересмотр политики безопасности и техническое соответствие требо- ваниям безопасности. По каждому требованию в рамках разрабатываемой методики конкретизиро- ваны следующие вопросы:  модель развертывания, для которой данный критерий критичен;  цель применения рекомендаций;

Раздел I. Концептуальные вопросы информационной безопасности

 угрозы, которые могут быть ликвидированы при применении данных ре- комендаций. Уже сейчас можно сказать, что спорить о том, работать с облачными техно- логиями или нет, уже поздно. Облака прочно вошли в нашу жизнь, и сейчас от разработки и исследования систем безопасности облачных технологий во многом будет зависеть будущее как самих сервисов, так и компаний, их использующих.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК 1. Батлер Б. Насколько широко используются облачные технологии? Зависит от того, как спрашивают [Электронный ресурс] // Открытые системы [сайт]. URL: http://www.osp.ru/news/articles/2013/18/13035508/ (дата обращения: 20.10.2013). 2. ORGs for Scalable, Robust, Privacy-Friendly Client Cloud Computing Internet Computing, September/October 2008 (vol. 12 no. 5), pp. 96-99 Carl Hewitt, Massachusetts Institute of Technology. URL: http://www.computer.org/csdl/mags/ic/2008/05/mic2008050096-abs.html (дата обращения: 20.10.2013). 3. NIST Cloud Computing Program [Электронный ресурс] // National Institute of Standards and Technology [сайт]. URL: http://csrc.nist.gov/publications/nistpubs/800-145/SP800- 145.pdf (дата обращения: 20.10.2013). 4. NIST Референтная (эталонная) архитектура облачных вычислений (Cloud Computing Reference Architecture) Версия 1.0. [Электронный ресурс] // О Cloud Computing на рус- ском [сайт]. URL: http://cloud.sorlik.ru/reference_architecture.html (дата обращения: 20.10.2013). 5. Эмм М. Облачные вычисления. Плюсы и минусы с точки зрения безопасности [Элек- тронный ресурс] // Информационная безопасность в СПбГЭУ [сайт]. URL: http://pycode.ru/2011/02/cloud-computing/ (дата обращения: 20.10.2013). 6. Черняк Л. Безопасность: облако или болото? [Электронный ресурс] // Открытые систе- мы [сайт]. URL: http://www.osp.ru/os/2010/01/13000673/ (дата обращения: 20.10.2013). 7. Stallman R. Cloud computing is a trap, warns GNU founder Richard Stallman», интервью газете The Guardian. 2008/09/29 URL: http://www.guardian.co.uk/technology/2008 /sep/29/cloud.computing.richard.stallman (дата обращения: 20.10.2013). Статью рекомендовал к опубликованию д.т.н., профессор Н.И. Витиска. Пескова Ольга Юрьевна – Федеральное государственное автономное образовательное учреждение высшего профессионального образования «Южный федеральный универси- тет»; e-mail: [email protected]; 347922, г. Таганрог, ул. Чехова, 2; тел./факс: +78634371905; кафедра безопасности информационных технологий; к.т.н.; доцент. Степовая Ксения Евгеньевна – e-mail: [email protected]; кафедра безопасности инфор- мационных технологий; студентка. Peskova Olga Yur’evna – Federal State-Owned Autonomy Educational Establishment of Higher Vocational Education “Southern Federal University”; e-mail: [email protected]; 2, Chekhov street, Taganrog, 347922, Russia; phone/fax: +78634371905; the department of security in data processing technologies; cand. of eng. sc.; associate professor. Stepovaya Xenia Evgen’evna – e-mail: [email protected]; the department of security in data processing technologies; student.

47 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Раздел II. Безопасность информационных систем и сетей

УДК 004.056: 004.73

Е.С. Абрамов, Е.С. Басан РАЗРАБОТКА МОДЕЛИ ЗАЩИЩЕННОЙ КЛАСТЕРНОЙ БЕСПРОВОДНОЙ СЕНСОРНОЙ СЕТИ*

Защита беспроводных сенсорных сетей (БСС) является актуальной проблемой, так как узлы сети имеют небольшую вычислительную мощность, ограниченный заряд батареи и располагаются в незащищенных местах, а информация передается по беспроводным каналам, то любое нарушение работы сети может привести к нежелательным последст- виям. На сегодняшний день разработано большое количество методов защиты БСС, а также систем обнаружения вторжений, но данные методы в основном предназначены для статических БСС. Также существует необходимость в разработке комплексного подхода к защите БСС, который смог бы противодействовать большинству существующих атак. В данной статье рассматривается кластерная беспроводная сенсорная сеть, к ко- торой должны быть применены методы защиты. Главная цель данной статьи – разра- ботка защищенной модели кластерной беспроводной сенсорной сети (КБСС) со встроен- ными механизмами обнаружения и предотвращения атак. В статье представлены алго- ритмы вычисления уровня доверия и определения главы кластера представлены, а также описана защищенная модель КБСС. Беспроводные сенсорные сети; кластеризация; атаки; доверие, алгоритмы; обнару- жение аномалий; подлинность; метод обнаружения вторжений; оценка уровня доверия.

E.S. Abramov, E.S. Basan DEVELOPMENT OF A SECURE CLUSTER-BASED WIRELESS SENSOR NETWORK MODEL

Protection of wireless sensor networks (WSN) is an important issue, since the nodes have low processing power, limited battery life and are located in disadvantaged areas , and the information is transmitted over wireless channels , any violation of the network can lead to undesirable consequences. To date, a large number of methods to protect WSN were developed, as well as intrusion detection systems, but these techniques are mainly designed for static WSN. There is also a need to develop an integrated approach to the protection of WSN, which could resist most of the existing attacks. In this paper we consider a clustering wireless sensor network which needs to be protected. The main aim of this article is development of a secure clustering wireless sensor network model with built-in detection and counteraction mechanisms against malicious impacts (attacks). Trust level calculation algorithm and cluster head (CH) election algorithm are introduced and secure clustering WSN model is described. Wireless sensor networks; clustering; attacks; trust; algorithms; anomaly detection; authen- ticity; intrusion detection method; trust evaluation.

* Работа выполнена при поддержке грантов РФФИ № 12-07-92693-ИНД_а, № 12-07-00013-а.

Раздел II. Безопасность информационных систем и сетей

Введение. Беспроводные сенсорные сети (БСС) – это принципиально новый тип беспроводных сетей, которые строятся на основе неограниченного количества не- больших датчиков с ограниченным зарядом батареи, предназначенных для сбора ин- формации и контроля объекта. Кластеризация является базовым методом для органи- зации большого количества объектов в группы ограниченного размера для многих научных и инженерных областей. Каждый кластер/группа должна иметь лидера, кото- рый обычно представлен, как Глава кластера (ГК). В общем случае ГК это узел, кото- рый имеет большие ресурсы, чем остальные узлы. Он способен определять маршрут внутри кластера и таким образом сокращает размер таблицы маршрутизации, храня- щейся на отдельном узле [1]. Можно выделить следующие уязвимости КБСС:  Уязвимость каналов к прослушиванию и подмене сообщений, в связи с общей доступностью среды передачи, как и в любых беспроводных сетях.  Незащищённость узлов от злоумышленника, который легко может полу- чить один узел в распоряжение, так как обычно они не находятся в безо- пасных местах, таких как сейфы.  Отсутствие инфраструктуры делает классические системы безопасности, такие как центры сертификации и центральные серверы, неприменимыми.  Динамически изменяющаяся топология требует использования сложных алгоритмов маршрутизации, учитывающих вероятность появления некор- ректной информации от скомпрометированных узлов или в результате из- менения топологии [2].  «Бутылочное горлышко», когда две большие группы связаны одним уст- ройством.  Ограниченное (4–14) число каналов в диапазоне WiFi – приводит к засо- рению эфира.  Проблема «темных углов» сети: наличие глухих мест, не связанных с дру- гими ни через узлы одноранговой сети, ни посредством шлюзов. В настоящее время существует больше количество возможных атак на БСС. Полный обзор атак представлен в [3]. Кратко, можно отметить, что большинство атак направлены на выведение из строя беспородных узлов сети, на дезориента- цию протоколов маршрутизации, а также сбой работы сети в целом. Таким образом, наша КБСС устроена так, что все узлы сети являются мо- бильными и поэтому выбор ГК необходимо осуществлять динамически. В основ- ном выбор ГК производится согласно параметрам местоположения и остаточного запаса энергии, в связи с чем, высока вероятность того, что злоумышленник, вне- дрившись в сеть, сможет стать ГК, что сможет нарушить работу всей сети. Поэто- му необходимо внедрить дополнительную защиту при выборе ГК. Целью является разработка: модели кластерной беспроводной сенсорной се- ти, реализующей алгоритмы определения уровня доверия узла и выбора ГК; мо- дифицированного протокола управления кластеризацией сети; методов обнаруже- ния атак и вторжений. Для достижения поставленной цели необходимо решить следующие задачи: 1. Провести анализ существующих методов защиты КБСС, атак и уязвимо- стей КБСС. 2. Разработать архитектуру защищенной КБСС с встроенной системой обна- ружения атак и вторжений, а также архитектуру каждого типа узла сети. 3. Получить набор метрик, по которым будет рассчитываться уровень дове- рия к узлу, а также подобрать формулы для расчетов. 4. Разработать алгоритм определения уровня доверия к узлу, для определе- ния того, что узел является подлинным. 5. Разработать алгоритм выбора ГК.

49 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

1. Предыдущие исследования. Что касается методов обнаружения атак в БСС, как второй линии защиты сети, то существует большое количество различ- ных методов, полный обзор методов обнаружения атак представлен в статье [2]. В каждом методе есть свои достоинства и недостатки, но особое внимание заслу- живает: «Комплексная система обнаружения вторжений (IIDS) в БСС на основе кластера» [4]. Данная система учитывает особенности кластерных сетей и принцип самоорганизации. Недостатком является устаревшая база атак для обучения ней- ронной сети, что снижает качество работы системы. Помимо системы обнаружения атак и вторжений для дополнительной защиты может использоваться показатель – уровень доверия к узлу. Проблема доверия рас- сматривается многими авторами, наиболее полный перечень метрик доверия пред- ставлен в источнике [5], здесь же имеются формулы для расчета уровня доверия. Но предложенные метрики либо не учитывают некоторых возможных угроз и атак, либо являются излишними, поэтому необходимо пересмотреть и дополнить данный список. В источнике [6] рассматривается кластерная БСС. Данная БСС имеет некото- рые особенности – ГК выбирается динамически согласно параметрам остаточный заряд энергии и местоположение. В данной статье четко описана архитектура кла- стерной БСС, предложен энергетически эффективный алгоритм выбора главы кла- стера, но не рассматривается вопрос безопасности. Выбор главы кластера также рассматривается многими авторами. К примеру, в статье [7] рассматривается про- блема выбора ГК с учетом требований безопасности. В данном случае при расчете уровня доверия используется недостаточное количество метрик, а также использу- ется подписание сертификата, что значительно усложняет процедуру выбора и вводит дополнительные трудности. Необходимо отметить, что выбор ГК хотя и происходит с согласия всех членов кластера, но не контролируется вышестоящей базовой станцией, что снижает уровень безопасности. 2. Защищенная модель кластерной БСС. В данной работе используется кластерная БСС, которая способствует разделению сети на небольшие группы, для упрощения процесса обеспечения безопасности. Пример кластерной БСС изобра- жен на рис. 1.

7 9 4 6 0 8 2 1 3 - Ц е н т р а л ь н ы й у з е л 5 - З а г о л о в о к к л а с т е р а - У з е л - с е н с о р Рис. 1. Кластерная БСС

Данная БСС имеет несколько особенностей: ГК отвечает за авторизацию дру- гих членов кластера, а базовая станция (БС) отвечает за авторизацию ГК. При этом любой узел-сенсор может стать главой кластера, если его показатели будут выше, чем у его соседей. В качестве метода обнаружения атак, как было сказано ранее, используется «Комплексная система обнаружения вторжений для КБСС», предло-

Раздел II. Безопасность информационных систем и сетей

женная в [4]. Данная система специально разработана для использования в кла- стерной БСС и основным принципом ее построения является разделение полномо- чий каждого типа узлов. Данная схема состоит из трех уровней компонентов СОВ: Модуль обнаружения злоупотреблений установлен на узлах сенсорах; гибридная система обнаружения вторжений (HIDS) установлена на ГК; гибридная интеллек- туальная система обнаружения вторжений (IHIDS) установлена на центральном узле. Система (IIDS) состоит из модулей определения злоупотреблений и ано- мального поведения. Система (IHIDS) состоит из модуля обнаружения аномалий, обнаружения злоупотреблений, изучающего модуля и модуля принятия решений. Рассмотрим основные возможности узлов сети. Модель сенсора: Поведение сенсора в сети можно охарактеризовать сле- дующим образом: сенсор воспринимает информацию об окружающей среде и разделяет ее на нормальную и аномальную. Сенсор может отправлять несколько типов сообщений: 1. Сообщение-маяк, оповещающее о присутствии сенсора в данном кластере, данное сообщение может быть двух типов, которое отправляет- ся: при входе в кластер и при выходе из него. 2. Пакет с данными – отправляется при необходимости, несет в себе информацию об окружающей середе, если все нормально. 3. Сообщение – оповещение данное сообщение сигнализирует об от- клонениях в окружающей среде, которые необходимо исправить или регулиро- вать. 4. Сообщение о место положения узла – оповещает заголовок кластера или соседние узлы о положении узла в пространстве (может не использоваться). Сен- сор получает управляющие сообщения от ГК; обнаруживает наличие атаки и опо- вещает заголовок кластера; участвует в выборе ГК путем расчета уровня доверия. Модель базовой станции (БС): узлы-сенсоры могут отправлять данные базо- вой станции через ГК; БС имеет полную информацию о каждом ГК (номер и МАС- адрес); удаление или добавление любого узла в кластере отслеживается БС (через ГК); БС отслеживает активность ГК и принимает решения о наличие атаки (связан- ной с подменой ГК); а также принимает участие в расчете уровня доверия узлов; анализирует данные полученные от ГК и обменивается данными с внешней сетью. Модель злоумышленника: Злоумышленник может: получить информацию об узлах сети, топологии сети, протоколах сети; проникнуть в сеть под видом за- конного пользователя; перенаправить на себя маршруты, чтобы сенсоры передава- ли данные через него; блокировать перенаправляемые на него сообщения, задер- живать их, скремблировать, изменять, передавать по туннелю сообщения другому злоумышленному узлу; посылать в сеть поддельные сообщения (посылая сообще- ния непрерывно, злоумышленник влияет на скорость истощения ресурсов датчика, посылая сообщения об изменении маршрута, злоумышленник изменяет таблицу маршрутизации); посылать сообщения о наличие маршрута высокого качества, перенаправляя все сообщения на себя. Злоумышленник может: отправлять под- дельный пакет-маяк или украденный пакет-маяк, чтобы выдать себя за законный узел; модифицировать сообщения, использовать уязвимости протоколов маршру- тизации. (перехватывать сообщения типа запрос о маршруте RREQ и отправлять на них ответ не проверяя валидность маршрута.). Модель главы кластера: Глава кластера может: рассылать сообщения о синхронизации по времени; рассылать сообщения-маяки; получать сообщения – маяки от узлов при их выходе и входе в кластер; получать и анализировать сооб- щения – оповещения от узлов сети; проходить аутентификацию у БС; передавать данные БС; отвечает за маршрутизацию сообщений; проводить аутентификацию узлов-сенсоров; участвовать в процессе обнаружения атаки, путем сбора данных от узлов, анализа трафика сети и передачи оповещений центральному узлу. Функ- циональная модель ГК представлена на рис. 2.

51 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Сообщение оповещение

Гибридный модуль обнаружения атак и Модуль вычисления вторжений уровня доверия - е и н к

е Таблица я Аутентификация щ а доверенных узлов б м о о С

Уровень приложений Энергопотребление

Стек Мобильность Сообщение- протоколов маяк

Синхронизация Сообщени-е по времени синхронизации

Таблица марщрутизации

Анализатор событий Чувствительный элемент

Сообщение Информативное оповещение сообщение Рис. 2. Функциональная схема главы кластера

3. Алгоритмы определения уровня доверия к узлу и главы кластера. Ес- ли ГК будет выбираться согласно двум параметрам – уровень остаточной энергии и местоположение, то злоумышленник с легкостью сможет подделать эти пара- метры и стать главой кластера. Поэтому необходимо вводить дополнительный параметр – уровень доверия к узлу. Для того чтобы рассчитать уровень доверия к узлу необходимо определить метрики, которые будут участвовать при расчетах. Набор таких метрик представлен в табл. 1.

Раздел II. Безопасность информационных систем и сетей

Таблица 1 Метрики для расчета уровня доверия

№ Метрика доверия Наблюдаемое поведение Атака 1 Пакеты данных Передача Черная дыра, сообщений\пакетов выборочная с данными переадресация, отказ в обслуживании, эгоистичное поведение 2 Управляющие Передача управляющих Отбрасывание пакеты: сообщения о пакетов управляющих месте положения, сообщений и сообщения-маяки. сообщений маршрутизации 3 Точность пакетов Целостность данных Изменение сообщений данных с данными 4 Точность Целостность Сибил атака, и любая управляющих управляющих пакетов атака на изменение пакетов сообщений протокола маршрутизации 5 Доступность на Своевременная передача Пассивное основе пакетов- периодической прослушивание, маяков или “hello” маршрутной информации эгоистичное поведение сообщений о доступности линии связи или узла 6 Изменение адреса Адрес пересылаемого Сибил атака, пакета пакета туннельная атака 7 Работа протокола Особые действия Аномальное поведение, маршрутизации: протокола связанное с особыми АСК пакеты, маршрутизации (реакция действиями протокола Сообщения RREQ, на особые сообщения маршрутизации RREP, RERR протокола маршрутизации) 8 Заряд батареи\время Оставшиеся запасы Доступность узла жизни энергии 9 Передача измерений Отчет о событиях Эгоистичное поведение (специализированных для узла на уровне приложений) приложений 10 Репутация Значение доверия Атака типа шантаж, полученной третьей компрометация стороной В источнике [5]. Даны формулы для расчета уровня доверия.

(1)

AB AB где Ti – это значение доверия узла А относительно узла В. Si – это количество AB успешных событий типа i, которые измерил узел А для узла В, .Fi – это количе- ство неудачных событий типа i, которые измерил узел А для узла В и ai,bi,ci,di вес/значимость успешных событий по сравнению с весом/значимостью неуспеш- ных событий. Данное значения уровня доверия рассчитывается для каждого собы- тия сети, которое рассмотрено в таблице.

53 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Эти значения доверия, связанные с поведением, умножаются на весовой ко- эффициент (Wi), отражающий их значение в иерархии безопасности и затем сум- мируются, для вычисления общего значения надежности узла, как показано в сле- дующем уравнении.

(2) В целом, прямые наблюдения считаются более важными, чем косвенная ин- формация о доверии, в то время как косвенная информация становится важной для новых узлов, которые имеют ограниченный опыт по взаимодействию со своими соседями. Также необходимо рассчитывать разницу между настоящим и прошлым зна- чениями для того, чтобы знать, как изменяется уровень доверия узла. T = γTnew + (1 − γ)Told. (3) В разработанном методе определения уровня доверия учитывается не только рассчитанное по формуле (4) доверие, но и влияние уровня энергии на уровень доверия. Существует несколько способов расчета уровня энергии, затрачиваемого за один цикл работы. В данном случае будет использоваться формула, предложен- ная в [8]: ES= PПР⋅T⋅n, (4) где T – время, затрачиваемое на передачу одного информационного пакета, n – число СУ в данном кластере, PПР=S = чувствительность приемника PПР= PПЕР + GПЕР + GПР + WСВ [дБ], (5)

здесь G = G = 0, – ослабление сигнала в свободном про- ПЕР ПР странстве на расстоянии ρ, λ = c / f – длина волны рабочей частоты f , ρ – расстоя- ние между головным и оконечными узлами. Так для стандарта IEEE 802.15.4 рабо- чая частота f = 868 МГц, скорость передачи информации C = 20 кбит/с, что позво- ляет вычислить и T = I/C , где I – объем информационного пакета. PПЕР – пере- датчик. Остаточное количество энергии для каждого из узлов с учетом (4) определя- ется из разности: k Qi (E) = Qk-1 – k*Ei, (6) где k – номер очередного цикла работы СС. Далее, необходимо рассчитать среднее значение уровня остаточной энергии всех узлов и пороговые значения.

ср , (7)

где N – это общее количество узлов. Алгоритм определения уровня доверия узла 1. Узел собирает данные от соседних узлов согласно тем метрикам, которые заданы ранее (в таблице). 2. Узел рассчитывает уровень доверия согласно уравнению (1), (2). 3. Узел рассчитывает остаточное количество энергии (4)–(6). 4. Узел отправляет полученные данные БС и соседним узлам (находящимся на расстоянии одного прыжка). 5. БС рассчитывает среднее количество энергии по формуле (7). 6. БС также отслеживает трафик и рассчитывает собственные значения (п. 1–3 алгоритма). 7. БС сравнивает свои значения, с полученными от узлов значениями: а) если все верно, то продолжение алгоритма; б) если не верно, то узел приславший неверные значения становится не дове- ренным и продолжение алгоритма. 8. БС отправляет рассчитанные значения узлам.

Раздел II. Безопасность информационных систем и сетей

9. Далее узел вычисляет значение остаточной энергии и уровня доверия по формуле (3). При этом необходимо обратить особое внимание на значение оста- точной энергии: а) значение остаточной энергии узла не должно увеличиться; б) если значение узла резко уменьшилось, то необходимо установить причину, проанализировав нагрузку: необходимо установить, каких пакетов было больше от- правлено и получено. Если было получено большое количество пакетов маяков, па- кетов синхронизации и других управляющих пакетов, то это говорит о том, что он подвергся Dos атаке. Если узел сам отправлял большое количество управляющих пакетов, то он проводил атаку. Если пакеты маршрутизации узла были отброшены или заблокированы, то он также подвергся атаке. При этом если узел подвергся ата- ке, то уровень доверия снижается, если он был атакующим, то узел изолируется. в) если значение энергии узла не изменилось, то также необходимо провести проверку активности узла. При этом если узел был неактивным, то уровень дове- рия узла оставить неизменным. Если узел выполнял активность, то провести ана- лиз пакетов аналогично, как в п. 9.б. и применить те же действия. 10. Если узел обнаружил, что его сосед(и) являются атакующими или под- верглись атаке, то он оповещает базовую станцию. 11. Базовая станция, получив оповещение, сверяет полученные данные со своими измерениями: а) если они совпадают, то рассылается сообщение-оповещение об атаке; б) если данные не совпали, то центральный узел полагает, что имеет место атака компрометации узла. Дополнительно необходимо отметить, что узел, являющийся ГК на текущий момент времени не участвует в выборах ГК. Текущий ГК оценивается и контроли- руется исключительно БС. ГК должен контролироваться отдельно, так как:  уровень энергии ГК будет существенно быстрее снижаться, чем уровень энергии узлов-сенсоров;  ГК отправляет большее количество управляющих сообщений, чем узлы- сенсоры;  ГК отвечает за межкластерную маршрутизацию. Алгоритм выбора главы кластера 1. БС объявляет начало процедуры выбора ГК на новом цикле работы алго- ритма, рассылая сообщения-оповещения заголовкам кластера. 2. ГК рассчитывают остаточную энергию по формуле(6). 3. ГК рассчитывают значения уровня доверия друг друга согласно формулам (1), (2). 4. Полученные значения главы кластеров отправляют БС для проверки. 5. БС рассчитывает среднее значение и среднее отклонение, согласно полу- ченным значениям. 6. БС сравнивает среднее значение с полученными значениями: если значе- ния ГК не выходят за допустимое, то ГК остается заголовком; если выходят за до- пустимое, то ГК перестает быть главой и продолжение алгоритма. 7. ГК объявляет процедуру выбора главы кластера узлам-сенсорам. 8. Узлы-сенсоры выполняют алгоритм определения подлинности узла, после чего один из узлов-сенсоров выбирается ГК. 9. Старый ГК рассылает сообщение о снятии полномочий. 10. Новый ГК рассылает сообщения-оповещения узлам-сенсорам. Выводы. В данной статье был предложен алгоритм определения подлинно- сти узла и модель защищенной кластерной БСС. Данный алгоритм необходим для выбора ГК, что позволит избежать ситуации, когда злоумышленник становится

55 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

главой кластера. Модель БСС подразумевает три типа узлов, для каждого из кото- рых были предложены механизмы защиты. В дальнейшем исследовании предпола- гается доработка системы обнаружения вторжений, так как в ней имеются сущест- венные недостатки. Также разработан протокол управления кластерной БСС, ко- торый будет учитывать требования безопасности. Необходимо доработать алго- ритм определения подлинности узла для контроля заголовков кластера централь- ным узлом. Приоритетной задачей является моделирование описанной модели сети и ее тестирование [9].

БИБЛИОГРАФИЧЕСКИЙ СПИСОК 1. Akkaya K. and Younis M. A survey on routing protocols for wireless sensor networks // Else- vier Journal of Ad Hoc Networks. – 2005. – № 3 (3). – P. 325.349. 2. Абрамов Е.С., Басан Е.С. Анализ сценариев атак на беспроводные сенсорные сети // Материалы XIII Международной научно-практической конференции «ИБ-2013». Ч. 1. – Таганрог: Изд-во ТТИ ЮФУ, 2013. – С. 60-72. 3. Абрамов Е.С., Басан Е.С. Разработка архитектуры системы обнаружения вторжений для беспроводных сенсорных сетей // Материалы XIII Международной научно-практической конференции «ИБ-2013». Ч. 1. – Таганрог: Изд-во ТТИ ЮФУ, 2013. – С. 72-79. 4. Wang S.S., Yan K.Q., Wang S.C., Liu C.W. An Integrated Intrusion Detection System for Clus- ter-based Wireless Sensor Networks // Expert Syst. – Appli., 2011. – № 38. – P.15234-15243. 5. Теплицкая С.Н., Хусейн Я.Т. Энергетически эффективный алгоритм самоорганизации в беспроводной сенсорной сети // Восточно-Европейский журнал передовых технологий. – 2012. – № 2/9 (56). – C. 25-29. 6. Zahariadis1 T., Leligou1 H.C., Trakadas P., Voliotis S. Trust management in wireless sensor networks // Eur. Trans. Telecomms. – 2010. – P. 386-395 7. Mills K.L. A brief survey of self-organization in wireless sensor networks // Wireless Commu- nications and Mobile Computing. – 2007. – Vol. 7, № 7. – P. 823-834. 8. Chatterjee P. Trust based clustering and secure routing scheme for mobile Ad Hoc networks // International Journal of Computer Networks & Communications (IJCNC). – 2013. – P. 86-395. 9. Abramov E.S., Andreev A.V., Mordvin D.V., Makarevich O.B. Corporate networks security evaluation based on attack graphs. // Proceedings of the 4th international conference on Securi- ty of information and networks (SIN '11)-ACM. – New York, NY, USA, 2011. – P. 29-36. Статью рекомендовал к опубликованию д.т.н., профессор Н.И. Витиска. Абрамов Евгений Сергеевич – Федеральное государственное автономное образовательное учреждение высшего профессионального образования «Южный федеральный универси- тет»; e-mail: [email protected]; 347928, г. Таганрог, ул. Чехова, 2; тел.: 88634371905; ка- федра безопасности информационных технологий; доцент. Басан Елена Сергеевна – e-mail: [email protected]; кафедра безопасности информа- ционных технологий; аспирантка. Abramov Evgeny Sergeevich – Federal State-Owned Autonomy Educational Establishment of Higher Vocational Education “Southern Federal University”; e-mail: [email protected]; 2, Chekhova street, Taganrog, 347928, Russia; phone: +78634371905; the department of security in data processing technologies; associate professor. Basan Elena Sergeevna – e-mail: [email protected]; the department of security in data processing technologies; postgraduate student.

Раздел II. Безопасность информационных систем и сетей

УДК 004.021

Р.В. Мещеряков, И.А. Ходашинский, Е.Н. Гусакова ОЦЕНКА ИНФОРМАТИВНОГО ПРИЗНАКОВОГО ПРОСТРАНСТВА ДЛЯ СИСТЕМЫ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ

Целью работы является рассмотрение и оценка методов формирования информатив- ного признакового пространства, применяемых при построении систем обнаружения втор- жений. Предлагается использовать для выявления информативных признаков генетический алгоритм и алгоритм муравьиной колонии. В качестве набора данных для экспериментов выбран KDD ’99. В качестве классификатора использован алгоритм k ближайших соседей. С помощью жадного алгоритма экспериментально определяется оптимальное число инфор- мативных признаков, а сами признаки выбираются генетическим алгоритмом и алгоритмом муравьиной колонии. Параметры алгоритма классификации выбираются на основе проведен- ных экспериментов. Параметры генетического алгоритма (метод скрещивания, метод се- лекции, способ вычисления фитнес-функции) менялись в ходе эксперимента. Было установле- но, что параметры генетического алгоритма не влияют на его результативность, влияют лишь на время выполнения. Эксперименты с алгоритмом муравьиной колонии показали, что с помощью этого алгоритма можно выявить группы информативных признаков (те признаки, которые именно в группе серьезно влияют на ошибку классификации). Эксперименты с жад- ным алгоритмом показали достаточность 11 признаков для классификации объектов из ука- занного набора с ошибкой классификации, не превышающей 5 %. Это подтверждается ре- зультатами сравнения с работами других исследователей. Информативный признак; оценка информативности; атака; система обнаружения вторжений; генетический алгоритм; жадный алгоритм; алгоритм муравьиной колонии.

R.V. Meshcheriakov, I.A. Hodashinsky, E.N. Gusakova EVALUATION OF FEATURE SPACE FOR INTRUSION DETECTION SYSTEM

With the rapid growth of computer networks during the past decade, security has become a crucial issue for computer systems. The detection of attacks against computer networks is becom- ing a harder problem to solve in the field of network security. Intrusion detection is an essential mechanism to protect computer systems from many attacks. As the transmission of data over the Internet increases the need to protect connected system also increases. Therefore, unwanted intrusions take place when the actual software systems are running. In this paper we consider different methods of relevant feature set creation, which applicable to intrusion detection system development. We suggest using genetic algorithm and ant colony algorithm for feature selection. We used the KDD ’99 intrusion detection dataset for experiments. K-nearest neighbor algorithm (kNN) was used for classifying objects. Optimal amount of relevant features is determined with greedy algorithm. Relevant features are selected with genetic algorithm and ant colony algorithm. Classification algorithm parameters are chosen based on experimental results. Genetic algorithm parameters (crossing method, selection method, fitness-function) were manipulated during the experiment. It was found that genetic algorithm parameters do not make influence on its results, but do make influence on the working time. Ant colony algorithm experiments have shown that this algorithm can find groups of relevant features (i.e. those features, that make big influence on classification rate when grouped with other features). Empirical results show that eleven features is enough for classification with error less than 5%. Results of comparison with other researches confirm this. Relevant feature; relevance evaluation; intrusion; intrusion detection system; greedy algorithm; genetic algorithm; ant colony algorithm. Введение. Под вторжением понимаются действия, направленные на наруше- ние целостности, конфиденциальности и доступности информационного ресурса. Одним из подходов к построению систем обнаружения вторжений является анализ

57 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

данных аудита и построение моделей вторжений. Суть подхода заключается в ана- лизе большого объема ретроспективных данных с использованием алгоритмов интеллектуального анализа и создание на их основе моделей в форме классифика- торов, отличающих нормальное поведение от вторжения. Системой обнаружения вторжений (СОВ) называются программные или программно-аппаратные средства выявления фактов несанкционированного доступа в компьютерную систему или сеть [1]. Важной задачей при разработке СОВ является задача поиск информатив- ных признаков. Алгоритмы выделения информативных признаков. Решение задачи фор- мирования информативного признакового пространства в данной работе прово- дится с помощью трех алгоритмов: жадного, генетического и алгоритма муравьи- ной колонии. Работа жадного алгоритма заключается в принятии локально оптимальных решений на каждом этапе, предполагая, что конечное решение также окажется оптимальным [2]. Жадный алгоритм применялся в двух модификациях:  из набора признаков убирался один, и вычислялась ошибка классифика- ции; на следующей итерации выбрасывался тот признак, ошибка при ис- ключении которого была минимальна;  на каждом шаге добавляется признак, в результирующий набор попадает тот признак, при добавлении которого ошибка классификации становится меньше всех. При этом признаки исключались из набора или добавлялись в набор по од- ному. Предполагается, что в данных условиях для конкретного набора данных может быть выявлено оптимальное количество признаков для классификации. Генетический алгоритм [3]. При использовании генетического алгоритма каждая хромосома представляет собой набор признаков, где каждый ген характе- ризует признак: 0 – отсутствует, 1 – присутствует. Выбор признаков проводился при различных фитнес-функциях. Первый способ формирования фитнес-функции основан на алгоритме классификации k ближайших соседей. Фитнес-функция формируется в предположении, что после отбрасывания неинформативного при- знака набор ближайших соседей изменяется минимально. Другой способ задания фитнес-функции – вычисление ее как точности классификации. Алгоритм муравьиной колонии представляет собой итеративный метод слу- чайного поиска, основанный на моделировании поведения агентов (муравьев) в процессе решения ими оптимизационных задач [4]. В случае решения задачи вы- бора информативных признаков набор признаков представлен в виде графа, в ко- тором каждый узел – это признак [5]. В начале алгоритма задается количество ин- формативных признаков, которые необходимо найти. Муравей останавливается тогда, когда пройдено необходимое количество признаков. На каждом шаге про- исходит испарение феромона. На каждой итерации выбирается набор признаков (путь муравья) с минимальной ошибкой. Алгоритм завершается тогда, когда прой- дено требуемое количество итераций, либо когда минимальная ошибка становится больше (или остается неизменной). Таким образом, количество феромона на каж- дой грани обратно пропорционально проценту ошибок, полученному при класси- фикации объектов по этому признаку. В данном подходе предполагается, что су- ществует какой-то оптимальный набор признаков, на котором классификаторы дают минимальный процент ошибок. Следовательно, существует полносвязный подграф, на гранях которого будет максимальное количество феромона. На гранях же, соединяющих неинформативные признаки феромона должно быть минималь- ное количество.

Раздел II. Безопасность информационных систем и сетей

Эксперимент. Исходными данными для эксперимента послужили данные из набора KDDCup’99. Несмотря на то, что этот набор данных создан довольно дав- но, исследователи продолжают использовать его для проверки работы алгоритмов выбора признаков. Объясняется это следующими факторами: большой объем на- бора данных, около 5 млн. объектов; популярность KDDCup’99 позволяет сравни- вать полученные результаты с результатами других исследователей и делать вы- воды относительно результативности предлагаемых методов. Каждая запись набо- ра представляет собой полную информацию об одном соединении. Соединение – это последовательность TCP-пакетов, начинающихся и заканчивающихся в неко- торые определенные моменты, между которыми данные переходят между исход- ным и целевым IP-адресами по определенному протоколу. Каждое соединение было помечено либо как нормальное, либо как атака, с точным указанием одного определенного типа атаки [6]. Основным критерием информативности признаков в задачах классификации является процент ошибок. Чем информативнее признак или группа признаков, тем выше процент ошибок при его отсутствии в итоговом наборе признаков. Однако вычисление процента ошибок классификации связано с большими затратами ма- шинного времени. В связи с этим при поиске информативных признаков были уч- тены следующие условия: объекты классифицируются наиболее простым спосо- бом для того, чтобы вычисление процента ошибок для каждого из признаков про- исходило максимально быстро; алгоритм классификации и его параметры выбра- ны таким образом, чтобы на каждом этапе эксперимента процент ошибок зависел в первую очередь от изучаемого критерия информативности, а не от способа клас- сификации. Поэтому для всех методов выбора признаков использовался один и тот же классификатор: метод k ближайших соседей. Оптимальное количество соседей было выбрано равным 5 на основе предварительных экспериментов. Расстояние между объектами рассчитывалось как Евклидово. Все признаки были предвари- тельно нормализованы. Кроме того, сведения по атакам, для которых имеется ме- нее двух сотен записей, не могут являться репрезентативными и были исключены из эксперимента. Из оставшихся записей было сформировано 5 выборок: по 100 записей на каждое из 10 типов соединений. Выборки были составлены таким обра- зом, что одна запись о соединении встречалась лишь в одной выборке. Из выборки были исключены признаки, которые измерялись по номинальной шкале. В резуль- тате получился набор данных 5000 записей по 10 соединениям, каждое из которых характеризовалось 38 признакам. На вход генетического алгоритма сокращения размерности подавались 38 признаков, алгоритм последовательно сокращал их до 2. На рис. 1 и 2 показан график зависимости правильно классифицируемых записей от количества призна- ков на обучающей и тестовой выборке для элитарного метода селекции. Для селекции методом колеса рулетки зависимости правильно классифици- руемых объектов мало отличаются от элитарного метода. Характер зависимости процента правильно классифицируемых объектов при выборе признаков с исполь- зованием жадного алгоритма совпадает с приведенными выше зависимостями. Таким образом, был сделан вывод, что оптимальным является количество призна- ков, равное 11. После 12 запусков генетического алгоритма в итоговый набор были отобра- ны 11 признаков, которые исключались из наборов как неинформативные два и менее раз: logged_in, dst_host_diff_srv_rate, dst_host_same_srv_rate, duration, src_bytes, dst_bytes, dst_host_same_src_port_rate, wrong_fragment, root_shell, count, srv_count.

59 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Рис. 1. График зависимости правильно классифицируемых записей от количества признаков для элитарного метода селекции

Рис. 2. График зависимости правильно классифицируемых записей от количества признаков на тестовой выборке для элитарного метода селекции

Эксперименты с муравьиным алгоритмом отличались друг от друга длиной пути муравья: расчеты проводились для 20, 15, 11, 8 и 6 признаков, соответственно. Каж- дый эксперимент включал 10 итераций. Минимальный процент ошибок был получен на наборе из 11 признаков. По результатам экспериментов, основываясь на количестве наиболее удачных наборов, в которых присутствовал тот или иной признак, в итого- вый набор были отобраны следующие признаки: src_bytes, hot, logged_in, su_attempted, is_guest_login, count, dst_host_same_srv_rate, dst_host_diff_srv_rate, dst_host_same_src_port_rate, dst_host_serror_rate, dst_host_srv_serror_rate. Однако, стоит обратить внимание на особенности алгоритма. Так как набор признаков рассматривается в виде графа, а муравей каждый раз выбирает ребро, которое связывает два признака, то некоторые признаки попали в итоговые набо- ры только в паре. Так, например, признаки dst_host_diff_srv_rate и dst_host_same_src_port_rate всегда присутствуют вместе во всех самых успешных наборах признаков. Признак dst_host_same_srv_rate встречается в тех же наборах, но не встречается в самых удачных наборах из малого количества признаков (6–8). Признаки hot, logged_in и count так же часто встречаются вместе.

Раздел II. Безопасность информационных систем и сетей

Сравнение с аналогами. Специалисты, изучавшие способы выбора призна- ков для обнаружения вторжений, по-разному решали поставленную задачу. Здесь можно выделить два подхода: поиск информативных признаков для каждого клас- са соединений [7, 8] в отдельности или же поиск универсальных информативных признаков[9–11]. Первый подход удобен тем, что сведения, полученные в результате подобно- го анализа, позволяют построить ансамбль классификаторов. Каждый классифика- тор при этом будет содержать информацию о соединении лишь по одному-двум признакам и будет различать соединения как принадлежащие к его классу атак или неизвестные ему. Итоговый класс соединения может быть получен, например, ме- тодом простого голосования. Таким образом, классификация может проводиться в реальном времени, что очень важно при построении СОВ. Однако, данная система будет требовать постоянного обновления и будет совершенно неустойчива к но- вым видам атак: аномальные значения признаков могут привести к тому, что со- единение не будет идентифицировано ни одним из классификаторов и таким обра- зом будет принято решение о его «нормальности». Другие исследователи на основе результатов обучения моделей и классифи- каторов формируют способ вычисления количественного показателя информатив- ности каждого признака [9, 10]. Недостаток данного подхода в том, что группа признаков, имеющих максимальное значение полученного показателя, может быть менее информативна, чем набор признаков с меньшим значением данного показа- теля. Два малоинформативных признака могут давать очень малый процент оши- бок при использовании их не по отдельности, а в паре. Формирование новых ин- формативных признаков – задача отдельного исследования (feature extraction). Некоторые исследователи рассматривают задачу выбора признаков как зада- чу оптимизации [5, 12, 13], при этом максимизируется (или минимизируется) функция, зависящая от процента ошибок, получаемого при обучении модели на итоговом наборе признаков. Значения признаков при этом чаще всего нормализу- ются и приводятся к одной шкале, но могут быть оставлены в первоначальном виде. Решение задачи классификации в данном случае может решаться множест- вом способов, в частности: классическим генетическим, алгоритмом перемещения бактерий, алгоритмом муравьиной колонии и т.д. [14]. Сравним полученные результаты работы генетического алгоритма и алго- ритма муравьиной колонии с результатами работы других исследователей. Для сравнения были выбраны работы [7–10] по следующим причинам:  в качестве алгоритма классификации в них используется алгоритм k бли- жайших соседей, потому разницу в результативности алгоритмов выбора признаков нельзя будет отнести к алгоритму классификации;  в данных работах классификация проводится по всем классам соединений, а не по двум или четырем классам, как делают другие исследователи; Авторы работ [7–10] включают в набор информативных следующие призна- ки: src_bytes, service, count, dst_bytes, srv_count, logged_in, dst_host_same_src_port_rate, wrong_fragment, protocol_type, dst_host_srv_count. Указанные признаки реже всего удалялись при работе генетического алго- ритма, а также входили в наиболее успешные наборы в алгоритме муравьиной ко- лонии, на основании чего можно сделать вывод о применимости данных методов для решения задачи селекции признаков. Заключение и выводы. В результате проведенного исследования можно сделать нижеследующие выводы. Для выявления оптимального количества информативных признаков удобно использовать жадный алгоритм: по форме зависимости несложно определить, при каком количестве признаков ошибка начинает резко падать либо возрастать.

61 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Генетический алгоритм и алгоритм муравьиной колонии можно использовать для формирования информативного признакового пространства. Алгоритмы по- зволяют выявить как отдельные информативные признаки, так и группы призна- ков, совместное использование которых дает уменьшение ошибки классификации.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК 1. Trost R. Practical Intrusion Analysis. Prevention and Detection for the Twenty-First Century. – Addison-Wesley, 2010. – 455 p. 2. Кормен Т., Лейзерсон Ч., Ривест Р., Штайн К. Алгоритмы: построение и анализ, 2е изд. – М.: Изд. дом «Вильямс», 2005. – 1296 с. 3. Емельянов В.В., Курейчик В.В., Курейчик В.М. Теория и практика эволюционного моде- лирования. – М.: Физматлит, 2003. – 432 с. 4. Dorigo M., Maniezzo V., Colorni A. Ant System: Optimization by Colony of Cooperating Agents // IEEE Transaction Systems, Man and Cybernetics. – Part B. 1996. – Vol. 26. – P. 29-41. 5. Олейник А.А., Субботин С.А. Мультиагентный метод с непрямой связью между агента- ми для выделения информативных признаков // Штучний інтелект. – 2009. – № 4. – C. 75-82. 6. KDD-CUP-99 [Электронный ресурс] – Режим доступа: http://kdd.ics.uci.edu/databases/ kddcup99/task.html. 7. Olusola A.A., Oladele A.S., Abosede D.O. Analysis of KDD ’99 Intrusion Detection Dataset for Selection of Relevance Features // Proceedings of the World Congress on Engineering and Computer Science. Vol I. – San Francisco, 2010. – P. 162-168. 8. Kayacık H.G., A. Zincir-Heywood N., Heywood M.I. Selecting Features for Intrusion Detec- tion: A Feature Relevance Analysis on KDD 99 Intrusion Detection Datasets [Электронный ресурс]. – Режим доступа: http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.66.7574 &rep=rep1&type=pdf. 9. Singh S., Silakari S. An ensemble approach for feature selection of Cyber Attack Dataset // International Journal of Computer Science and Information Security. – 2009. – Vol. 6, № 2. – P. 297-302. 10. Tavallaee M., Bagheri E., Lu W., Ghorbani A.A. A detailed analysis of the KDD CUP 99 data set // Proceedings IEEE international conference on computational intelligence for security. – Ottawa, 2009. – P. 53-58. 11. Wang W., Knapskog S. J., Gombault S. Attribute Normalization in Network Intrusion Detec- tion // Proceedings 10th International Symposium on Pervasive Systems, Algorithms, and Networks. – Kaohsiung, 2009. – P. 448-453. 12. Van Dijck G., Van Hulle M., Wevers M. Genetic Algorithm for Feature Subset Selection with Exploitation of Feature Correlations from Continuous Wavelet Transform: a real-case Applica- tion // International Journal of Computational Intelligence. – 2004. – Vol. 1. – P. 1-12. 13. Kim Y., Street W. Nick, Menczer F. Feature Selection in Data Mining // Data mining. – 2003. – P. 80-105. 14. Ходашинский И.А., Мещеряков Р.В., Горбунов И.В. Методы нечеткого извлечения знаний в задачах обнаружения вторжений // Вопросы защиты информации. – 2012. – № 1. – С. 45-50. Статью рекомендовал к опубликованию д.т.н., профессор Ю.П. Ехлаков. Гусакова Екатерина Николаевна – Томский государственный университет систем управ- ления и радиоэлектроники; e-mail: [email protected]; 634050, г. Томск, пр. Ленина, 40; тел./факс: 83822900111; аспирантка. Мещеряков Роман Валерьевич – e-mail: [email protected]; тел.: 83822413426; д.т.н.; профессор. Ходашинский Илья Александрович – e-mail: [email protected]; тел./факс: 83822900111; д.т.н.; профессор. Gusakova Ekaterina Nikolaevna – Tomsk State University of Control Systems and Radioelectronics; e-mail: [email protected]; 40, Lenin Avenue, Tomsk, 634050, Russia; phone: +73822900111; postgraduate student.

Раздел II. Безопасность информационных систем и сетей

Meshcheriakov Roman Valerievich – e-mail: [email protected]; phone +73822413426; dr. of eng. sc.; professor. Hodashinsky Ilya Alexandrovich – e-mail: [email protected]; phone/fax: +73822900111; dr. of eng. sc.; professor.

УДК 004.056

М.Н. Жукова, Н.А. Коромыслов МОДЕЛЬ ОЦЕНКИ ЗАЩИЩЕННОСТИ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ С ПРИМЕНЕНИЕМ АППАРАТА НЕЧЕТКОЙ ЛОГИКИ*

Рассматривается подход к построению защищенных автоматизированных систем. Проанализированы существующие решения в области анализа защищенности, показаны трудности их применения на территории РФ. Предложен и описан подход, основанный на применении аппарата нечеткой логики. Представлена модель оценки защищенности авто- матизированной системы с применением аппарата нечеткой логики. Описаны основные составляющие модели и процедура интеграции статистических данных, накопленных ав- томатизированной системой в процессе функционирования. Предложено применение пре- цедентного подхода к разработке модифицированного алгоритма оценки защищенности автоматизированной системы. За счет применения механизмов нечеткой логики отсут- ствуют требования к строгой формализации данных и появляется возможность работы с качественными характеристиками. Однако остается проблемы предварительной на- стройки некоторых параметров, таких как, выбор представления лингвистических пере- менных; определение граничных значений термов; выбор метода дефаззификации. На ос- нове предложенной модели разработан алгоритм автоматизированной системы на преце- дентах оценки защищенности АС, представлена его схема. Таким образом, проведено объ- единение трех подходов к оценке и анализу защищенности АС: использование стандарти- зированного подхода; использование результатов работы СЗИ АС; использование аппара- та нечеткой логики. Эффективное сочетание данных подходов позволяет, предусмотреть требования стандартов, учесть прецеденты ИБ, что позволит более динамично управ- лять АС и с большей эффективностью оценивать защищенность. Информационная безопасность; автоматизированная система; оценка защищенно- сти; нечеткая логика

M.N. Zhukova, N.A. Koromyslov MODEL OF THE AUTOMATED SYSTEM SECURITY ASSESSMENT WITH USE OF THE FUZZY LOGIC

Approach to creation of the protected automated systems is considered. Existing decisions in the field of the security analysis are analysed, difficulties of their application in the territory of the Russian Federation are shown. The approach based on use of the fuzzy logic is offered and described. The model of an assessment of automated system security with use of the fuzzy logic is presented. The main components of model and procedure of statistical data integration which have been saved up by automated system in the course of functioning are described. Application of case approach to development of the modified algorithm of an assessment of the automated system security is offered. At the expense of use of the fuzzy logic mechanisms there are no requirements to strict formalization of data and there is a possibility to work with qualitative characteristics. However there are problems of preliminary control of some parameters, such as, a choice of lin- guistic variables representation; determination of boundary values of terms; choice of a

* Работа выполнена при финансовой поддержке РФФИ, соглашение НК 13-07-00222\13 от 09.04.2013 г.

63 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences defazzification’s method. On the basis of the offered model the algorithm of the automated system on cases of the security assessment to information system security for automated systems is developed, his scheme is submitted. Thus, association of three approaches to an assessment and the security analysis is carried out: use of the standardized approach; use the results of work in information system security for automated systems; use of the fuzzy logic. The effective combination of these approaches allows, to provide requirements of standards, to consider cases that will allow to operate more dynamically and with bigger efficiency to estimate security. Information security; automated system; assessment of security; fuzzy logic. При построении системы защиты информации (СЗИ) сложился подход, осно- ванный на представлении процесса обработки информации в виде абстрактной вычислительной среды, в которой работают множество «субъектов» (пользовате- лей и процессов) с множеством «объектов» (ресурсы и наборы данных) [1]. При этом процесс построения СЗИ заключается в создании защитной среды в виде не- которого множества ограничений и процедур, способных под управлением ядра безопасности запретить несанкционированный и реализовать санкционированный доступ «субъектов» к «объектам» и защиту последних от множества преднамерен- ных и случайных внешних и внутренних угроз. Данный подход опирается на теоретические модели безопасности: АДЕПТ-50 Хартсона, Белла–Лападулы, MMS Лендвера и МакЛина, Биба, Кларка–Вилсона и др [2]. Считается, что перечисленные модели являются инструментарием при раз- работке определенных политик безопасности, определяющих некоторое множест- во требований, которые должны быть выполнены в конкретной реализации систе- мы. На практике разработчику чрезвычайно сложно реализовать эти модели, и поэтому они рекомендуются лишь для анализа и оценки «уровня безопасности» автоматизированных систем (АС), а руководствоваться предлагается специально разработанными на основе упомянутых подхода и моделей стандартами. Существует достаточно большое количество нормативно-методических до- кументов, определяющих требования к защищенным системам и порядок их соз- дания [3, 4]. Вместе с тем, подавляющее большинство из них предлагают реализа- цию индивидуального проектирования СЗИ, выражающегося в построении авто- матизированных систем в защищенном исполнении (АСЗИ) с использованием концепции нисходящего проектирования [1]. Несмотря на очевидные достоинства, такой подход требует значительных временных и материальных затрат. При этом, в последние несколько лет, наблюдается значительный рост объема рынка средств защиты информации (СрЗИ), что предопределило возможность реализации кон- цепции восходящего проектирования с использованием типовых решений по сред- ствам защиты, которая является более доступной для большинства негосударст- венных учреждений, не оперирующих информацией содержащей государственные секреты и обладающих невысоким бюджетом. Очевидно, что одной из важнейших задач оптимального построения ком- плексной СЗИ является выбор из множества имеющихся средств такого их набора, который позволит обеспечить нейтрализацию всех потенциально возможных ин- формационных угроз с наилучшим качеством и минимально возможными затра- ченными на это ресурсами [5]. При этом на многочисленных практических приме- рах, доказано, что наиболее эффективно задачи защиты информации решаются в рамках упреждающей стратегии защиты, когда на этапе проектирования оценива- ются потенциально возможные угрозы и реализуются механизмы защиты от них [6]. Ключевым моментом в этой ситуации является также то, что, на этапе проек- тирования СЗИ, разработчик, не имея статистических данных о результатах функ- ционирования создаваемой системы, вынужден принимать решение о составе комплекса СрЗИ, находясь в условиях значительной неопределенности [7].

Раздел II. Безопасность информационных систем и сетей

Необходимость оперативного решения задачи моделирования и оптимизации архитектуры защищенной АС, определения ее параметров, поиск их оптимальных значений и т.д. привели к созданию нескольких направлений теоретических и практических исследований:  работы, посвященные анализу защищенности автоматизированных систем;  работы, посвященные исследованиям в области интегрированного управ- ления информационными и другими типами рисков;  работы, посвященные исследованиям в области анализа комплексных на- рушений в системах защиты информации и анализа безопасности в усло- виях неполной информации и др. Данные направления открывают возможности по созданию разнообразных программных решений, направленных на решение части задач, например:  MaxPatrol, XSpider, Tenable Nessus, Appradar, AppDetectivePro – системы анализа защищенности;  Dbprotect, SecureSphere DataBase Security Gateway, SecureSphere Database Monitoring Gateway, MaxPatrol – комплексные системы управления защи- щенностью;  CiscoWorks Network Compliance Manager, IBM Ilog, JBoss Enterprise BRMS, Oracle Business Rules – аналитические системы поддержки приня- тия решений (анализ соответствия бизнес-модели, стандартам безопасно- сти, политике безопасности и т.д.). Данные системы играют ключевую роль при решении той или иной задачи, возникающей в процессе построения защищенной АС. Наиболее известными ком- паниями, занимающимися разработками флагманских систем данного класса яв- ляются IBM, Cisco, Positive Technologies, Symantec, Nessus, ФГУП «Концерн «СИСТЕМПРОМ»» и др. Для анализа и комплексной оценки защищенности АС компании, в своих решениях, применяют эксклюзивные алгоритмы собственного производства, которые для потребителей являются, по сути, «черным ящиком». Данный факт и стоимость предлагаемых решений делает их применение на терри- тории РФ затруднительным. Это обусловлено в первую очередь тем, что для при- менения на АС, обрабатывающих конфиденциальную информацию на территории РФ, должны применяться решения удовлетворяющие требованиям регуляторов в сфере ИБ (ФСТЭК России, ФСБ России), т.е. пройти проверку на соответствие и иметь сертификат регулятора. Для прохождения проверки на соответствие компа- ниям необходимо предоставить регуляторам исходные коды программной реали- зации алгоритмического обеспечения своих решений, что не всегда является при- емлемым по ряду причин. А использование не сертифицированных решений для организации защищенных АС на территории РФ является нелигитимным. Закры- тость, стоимость, отсутствие сертификатов регуляторов практически не позволяют на территории РФ проектировать и внедрять защищенные АС, спроектированные и проанализированные на базе систем данного класса. Однако именно алгоритмическое обеспечение систем подобного класса явля- ется инновационным продуктом и позволяет существенно повысить уровень раз- работки защищенных АС с предварительным моделированием и оптимизацией параметров, оценкой уровня защищенности, обеспечением заданного уровня на- дежности и прогнозированием уровня защищенности АС при различных измене- ниях жизненного цикла системы. Выходом из сложившейся ситуации является разработка и(или) модификация алгоритмов анализа защищенности АС на базе уже существующих подходов с привлечением механизмов, которые позволят адаптировать алгоритмы к измене- ниям, происходящим в АС в процессе ее эксплуатации.

65 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Основу алгоритмического обеспечения должны составлять интеллектуальные алгоритмы моделирования и оптимизации, анализа защищенности, а также алго- ритмы оценки надежности и прогнозирования модифицированные с помощью со- временного математического аппарата. В рамках данного исследования предлага- ется применение аппарата нечеткой логики для модификации алгоритма анализа защищенности АС. Применение модификаций с помощью методов, относящихся к технологии «мягких вычислений», позволят модифицированным алгоритмам при- обрести свойства, перспективные с точки зрения защиты информации: распозна- вание, разнообразие, обучение, самообучение, память, распределенный поиск, вы- сокая скорость поиска оптимальных решений, внутренняя регуляция и адаптив- ность [8]. Их применение закономерно с точки зрения требований к АС в условиях постоянно изменяющихся состояний АС в течение жизненного цикла системы – уровень защищенности АС должен быть максимально стабильным и отвечающим заданным требованиям. Только такие АС имеют высокую вероятность противо- стоять новым, ранее неизвестным инцидентам ИБ. Анализ защищенности АС невозможен без оценки на соответствие требова- ниям того или иного нормативного документа. Процедуру оценки, как правило, проводят с применением различных методов опроса. Основными этапами данного подхода (являются: использование опросных листов на основе требований стан- дарта; формирование базы знаний (на основе требований и рекомендаций стандар- та, на основе мнений привлеченных специалистов – экспертов); нахождение пра- вил по анализу ответов на опросные листы. Применение только стандартизиро- ванного (табличного) подхода позволит достаточно быстро построить оценку за- щищенности и получить рекомендации для АС. Но, к сожалению, реализация по- лученных рекомендаций практически всегда затруднена (или невозможна) из-за того, что не стандарт не учитывает информацию, накопленную самой системой в процессе ее функционирования. Таким образом, возникает задача одновременного учета и требований стандар- та и статистики (например, по инцидентам информационной безопасности), собран- ной в процессе функционирования АС. Однако, учет всех произошедших инциден- тов невозможен в силу огромного разнообразия в видах событий и большого их чис- ла, происходящих даже в небольшой АС в процессе ее функционирования. Таким образом, необходимо из огромного числа зафиксированных инцидентов сформиро- вать базу прецедентов, с которой далее будет работать алгоритм анализа защищен- ности. Прецедент – случай, имевший место ранее и служащий примером или оправ- данием для последующих случаев подобного рода. База прецедентов формируется из базы инцидентов, сформированной, например, из lоg-файлов системы обнаруже- ния вторжений/системы обнаружения атак. В принципе, для формирования базы прецедентов, можно использовать журналы межсетевых экранов и других средств защиты информации, а так же операционных систем и т.д. В основе модифицированного алгоритма анализа защищенности лежит мо- дель оценки защищенности, построенная с применением аппарата нечеткой логики [9], представленная на рис. 1. Наибольший интерес в представленной модели представляют механизмы применения аппарата нечеткой логики. Для корректной работы данного блока не- обходима информация из базы прецедентов. База прецедентов формируется из базы инцидентов, зарегистрированных в АС. При этом, система весьма гибка, так как базу прецедентов можно формировать любым способом, исходя из особенно- стей назначения АС, требований к ее функционированию, требований к организа- ции защиты информации и т.д. Это помогает в определении управляющих воздей- ствий пользователя на тот или иной прецедент ИБ в соответствии с требованиями,

Раздел II. Безопасность информационных систем и сетей

а так же определяет порядок реализации данных действий от наиболее критичных, в результате невыполнения которых имеется реальная возможность утечки (поте- ри, искажения и т.д.) информации, до наименее критичных, в результате невыпол- нения которых создаются предпосылки для утечки информации.

Входные данные Входные данные Требования СОА/СОВ стандарта

Стандарт ИСО/МЭК 27001 «Информационные технологии. База инцидентов Методы защиты. Системы Опросный лист менеджмента защиты информации. Требования»

Исходные данные База прецедентов по АС Система, основанная на Блок методике оценки соответствия База знаний лингвистических АС Стандарту 27001 переменных

Блок нечеткой Правила логики

Блок Реагирование на Рекомендации ранжирования инцидент Система нечеткой логики угроз

Ранжированный список блоков Выходные данные Рис. 1. Схема модели оценки защищенности АС с применением механизмов нечеткой логики

Таким образом, на вход блока «нечеткой логики» подаются те параметры, ко- торые выбраны для оценки. Одной из особенностей применения механизмов не- четкой логики является отсутствие требований к строгой формализации данных и возможность работы с качественными характеристиками. Однако для корректной работы требуется предварительная настройка некоторых параметров, таких как:  выбор представления лингвистических переменных;  определение граничных значений термов;  выбор методы дефаззификации. Решение данной задачи, в свою очередь, требует достаточно высокой квали- фикации от пользователя. Вся остальная процедура обработки представлена для пользователя в виде «черного ящика» – на вход системы с нечеткой логикой по- даются параметры, выбранные для оценивания, на выходе формируется опреде- ленное управляющее воздействие. Управляющие воздействия поступают в блок ранжирования угроз, где формируется список актуализированных угроз, на кото- рые необходимо обратить первоначальное внимание при построении или доработ- ке АС – в отличие от стандартизированного подхода, который выдает список ре- комендаций, полученных только на основе сравнения того, что требует стандарт и того, что формально присутствует в системе. Для создания системы автоматизированной оценки защищенности АС разра- ботан алгоритм, представленный на рис. 2. Работа системы объединяет в себе 3 подхода к оценке и анализу защищенно- сти АС: использование стандартизированного подхода; использование результатов работы СЗИ АС; использование интеллектуальных технологий. Эффективное сочетание данных подходов позволит как предусмотреть тре- бования стандарта 27001 [10], так и уйти от статичности требований стандарта и учесть прецеденты ИБ, что позволит более динамично управлять АС и с большей эффективностью оценивать защищенность.

67 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Начало СОВ/СОА Входная информация

Информация по База прецедентов опросным листам

База Поиск знаний правила Поиск характеризующей Блок лингвистических лингвистической переменных переменной Блок ранжирования угроз Блок принятия управляющих База правил воздействий

Упорядоченный список рекомендаций

Конец

Рис. 2. Алгоритм работы автоматизированной системы на прецедентах оценки защищенности АС

Применение разработанного подхода позволяет уйти от субъективности (не- опытности) пользователя, отвечающего на вопросы стандарта; использовать объ- ективную информацию о наличие угроз ИБ АС, за счет автоматизированной обра- ботки статистики по инцидентам; получить ранжированный список рекомендаций, которые необходимо выполнить для построения эффективной и удовлетворяющей требованиям стандарта системы защиты информации.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК 1. Заде Л. Понятие лингвистической переменной и его применение к принятию прибли- женных решений. – М.: Мир, 1976. – 166 c. 2. ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищённом исполнении. Общие требования. – Введ. 2000–30–06. – М.: Стандартинформ, 2001. – 22 с. 3. Арьков П.А. Комплекс моделей для поиска оптимального проекта системы защиты ин- формации // Известия ЮФУ. Технические науки. – 2008. – № 8 (85). – С. 30-36. 4. Девянин П.Н. Модели безопасности компьютерных систем: Учебное пособие для студ. высш. учеб. заведений. – М.: Изд. центр «Академия», 2005. – 144 с. 5. Гончаров М.М., Борисов В.В. Разработка модели анализа рисков информационной безо- пасности компьютерных систем на основе нечеткой логики // Научно-технический жур- нал «Защита информации». – 2011. – № 1 (18). Режим доступа: URL: http://network- journal.mpei.ac.ru/cgi-bin/main.pl?l=ru&n=18&pa=9&ar=1 (дата обращения 20.10.2013). 6. Бородакий Ю.В, Добродеев А.Ю. Проблемы и перспективы создания автоматизирован- ных систем в защищенном исполнении // Известия ЮФУ. Технические науки. – 2007. – № 1 (76). – С. 3-6. 7. ГОСТ Р 51583–2000. Защита информации. Порядок создания автоматизированных сис- тем в защищенном исполнении. Общие положения. – Введ. 2000–06–04. – М.: Стандар- тинформ, 2001. – 20 с. 8. ГОСТ Р ИСО/МЭК 27001–2006. Информационная технология. Методы и средства обес- печения безопасности. Системы менеджмента информационной безопасности. Требова- ния. – Введ. 2006–27–12. – М.: Стандартинформ, 2008. – 26 с.

Раздел II. Безопасность информационных систем и сетей

9. Домарев В.В. Безопасность информационных технологий. Методология создания систем защиты. – 2-е изд. перераб. – Киев: ООО «ТИД «ДС», 2008. – 286 с. 10. Жукова М.Н. Золотарев А.В. Применение нечеткой логики при решении задачи ком- плексной оценки защищенности автоматизированных систем // В мире научных откры- тий: научное периодическое издание. – 2011. – Вып. 12. – С. 205-214. Статью рекомендовал к опубликованию к.т.н., доцент П.М. Гофман. Жукова Марина Николаевна – ФГБОУ ВПО «Сибирский государственный аэрокосмиче- ский университет им. академика М.Ф. Решетнева»; e-mail: [email protected]; 660014, г. Красноярск, проспект им. газеты «Красноярский рабочий», 31; тел.: +79029101502; ка- федра безопасность информационных технологий; к.т.н.; доцент. Коромыслов Никита Андреевич – e-mail: [email protected]; тел.: 83912621847; аспирант. Zhukova Marina Nikolaevna – Siberian State Aerospace University; e-mail: [email protected]; 31, prospekt imeni gazety «Krasnoyarskiy rabochiy», Krasnoyarsk, 660014, Russia; phone: +79029101502; the department of information technologies security; cand. of eng. sc.; associate professor. Koromyslov Nikita Andreevich – e-mail: [email protected]; phone: +73912621847; postgraduate student.

УДК 681.324

Ю.А. Брюхомицкий МОДЕЛЬ АДАПТИВНОЙ САМООРГАНИЗУЮЩЕЙСЯ ИСКУССТВЕННОЙ ИММУННОЙ СИСТЕМЫ ДЛЯ РЕШЕНИЯ ЗАДАЧ КОМПЬЮТЕРНОЙ БЕЗОПАСНОСТИ*

Рассматриваются новые подходы и принципы построения искусственной иммунной системы (ИИС), отличающейся от известных тем, что в ней воспроизводятся способно- сти к адаптации и самоорганизации, присущие иммунной системе живых организмов. Предлагаются новые подходы к моделированию свойства двойной пластичности, основан- ные на использовании различных механизмов формирования и регулирования численности детекторов. В процессе функционирования ИИС детекторы градуируются по эффектив- ности обнаружении «чужих». Также вводится механизм регулирования баланса способно- стей ИИС к обнаружению ранее встретившихся и новых «чужих». В конечном итоге функционирование ИИС проявляет свойства параметрической и структурной пластично- сти. Параметрическая пластичность реализуется на стадии предварительного обучения и заключается в выборе исходных параметров представления и кодирования информацион- ных процессов, реализации процедуры создания шаблонов и формирования первичного набо- ра детекторов. Структурная пластичность реализуется на стадии рабочего функциони- рования в «духе коллективизма» путем выявления и замены слабейших элементов новыми, удаления бесполезных элементов, заполнения ниш, не занятых имеющимися элементами. В конечном итоге в отличие от известных ИИС проявляет присущий живой иммунной системе комбинированный характер функционирования: экзогенный в части защиты от внешних нарушителей и эндогенный в части обеспечения постоянства и целостности внутренней среды и поддержания механизмов внутренней коммуникации. Искусственная иммунная система; адаптация; самоорганизация; обнаружение «чу- жих» информационных процессов; свойства параметрической и структурной пластичности.

* Работа выполнена при поддержке гранта РФФИ 12-07-00081-а.

69 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Yu.A. Bryukhomitsky ADAPTIVE SELF-ORGANIZING ARTIFICIAL IMMUNE SYSTEM MODEL FOR A COMPUTER SECURITY PARTICULAR PURPOSE

New approaches and principles of artificial immune system (AIS) building are considered, which differs from prior ones in that it reproduces the ability to adapt and self-organization that is appropriate to immune system of living organisms. There are new approaches to the property of double-plasticity modeling proposed, which based on the use of different mechanisms of detectors number formation and regulation. While the AIS operating, detectors are calibrated by the effectiveness of finding the "strangers". It also introduces a mechanism for regulating the balance of AIS capabilities to the discovery of new and previously encountered "strangers". At least, the AIS functioning get the properties of parametric and structural plasticity. The parametric plasticity is implemented on a pre-training stage and consists in selection of initial parameters for information processes representation and coding, realization of the templates creating procedure and creation of the primary set of detectors. The structural plasticity is implemented on the stage of active functioning in the "spirit of cooperation" by identifying and replacing the weakest elements by new ones, removing useless elements, filling the vacant niches, not occupied by the existing elements. Finally, in contrast to the well-known ones, AIS shows the complex functioning temper, inherent to living immune system: exogenous in protecting against external violators and endoge- nous in terms of ensuring of internal environment constancy and integrity and maintaining the mechanisms of internal communication. Artificial immune system; adaptation; self-organization; detection of "strange" information processes; parametric and structural plasticity properties. На технологии построения современных информационных систем сильное влияние оказали результаты биологических исследований живых организмов. В настоящее время это влияние представлено широким арсеналом методов и средств искусственного интеллекта, которые занимают все более прочные позиции в информатике, кибернетике, информационной безопасности. В первую очередь, это касается аппарата искусственных нейронных сетей, а также эволюционных и генетических алгоритмов, которые во многих случаях позволили кардинально из- менить подходы к проектированию информационных систем. В конце прошлого века искусственный интеллект пополнился еще одной технологией, заимствован- ной из биологических исследований, – искусственными иммунными системами (ИИС) [1]. Однако, в отличие от искусственных нейронных сетей, эволюционных и генетических алгоритмов, ИИС пока не заняли прочного места в современных информационных технологиях. По мнению специалистов в этой области [1–3] это объясняется тем, что ИИС в своем нынешнем виде воспроизводят лишь самые об- щие принципы защиты организма от микробиологической опасности что, в конеч- ном итоге, дает мало новых практических результатов при построении техниче- ских систем. Для получения более ощутимых результатов, возможно, следует рас- сматривать иммунную систему не только и не столько как систему защиты, а как самоотождествляющуюся систему, которая в условиях постоянного контакта с внешней средой подвергается постоянной внутренней реорганизации на структур- ном и параметрическом уровнях [2–7]. Параметрическая пластичность обеспечи- вается механизмом адаптации, позволяющего системе в ходе выполнения текущей задачи изменять параметры функционирования для повышения ее эффективности. Структурная пластичность дает системе новые возможности для адаптации. В сис- темах взаимодействующих элементов она сводится к способности добавления но- вых и исключения уже имеющихся элементов. Эти два разных способа адаптации органично связаны и используются в одной системе. Иммунологи называют это свойство иммунной системы двойной пластичностью.

Раздел II. Безопасность информационных систем и сетей

Важной особенностью иммунной системы, отличающей ее от технической системы, является различие причин проведения внутренних изменений. В техни- ческих системах изменения, как правило, носят экзогенный характер, являясь ре- зультатом взаимодействия с внешней средой. В иммунной системе изменения осуществляются на внутрисистемном уровне, и напрямую не зависит от внешних воздействий. Экзогенный характер иммунной системы проявляется лишь как сис- темы защиты от внешних нарушителей. Именно эта сторона иммунной системы и воспроизводится, как правило, в ИИС, применяемой в сфере информационной безопасности. В то же время, взгляд на иммунную систему как на самоотождеств- ляющуюся [3–7], функция которой состоит в поддержании некоторых механизмов внутренней коммуникации и обеспечении постоянства внутренней среды, свиде- тельствует об эндогенном характере ее функционирования. Так, или иначе, желание получить от ИИС существенно более значительные результаты в инженерной практике и, в том числе, в сфере информационной безо- пасности, связано с комплексным подходом, включающим воспроизведение в ИИС как экзогенных, так и эндогенных принципов функционирования на основе модели- рования свойств двойной пластичности. Первоначальные попытки моделирования этих свойств в ИИС, ориентированных на компьютерную безопасность, были уже предприняты в работах [8–10]. В настоящей работе рассматриваются новые подходы к моделированию свойства двойной пластичности в задачах, использующие различ- ные методы формирования и регулирования численности детекторов. Предлагается следующая обобщенная схема мониторинга информационных процессов в КС на основе адаптивной самоорганизующейся ИИС. 1. Фаза предварительного обучения ИИС. 1.1. Специальное иммунологическое представление и кодирование ин- формационных процессов. 1.2. Создание шаблонов «своих». 1.3. Создание набора первичных детекторов для обнаружения «чужих». 2. Рабочая фаза. 2.1. Мониторинг информационных процессов. 2.2. Организация подсчета числа случаев срабатывания каждого детекто- ра (определение параметра статуса детекторов). 2.3. Установление в общей численности детекторов границы «новизна / память», устанавливающей желаемый баланс способностей ИИС к обнаружению новых и сохранению памяти на уже встреченных «чужих». 2.4. Работа механизма «новизна / память». 2.4.1. До границы «новизна / память». 2.4.1.1. Выбор и уничтожение ни разу не активировавшихся первичных детекторов. 2.4.1.2. Генерация новых, вторичных детекторов, отличных от шаблонов «своих» и аффинных к детекторам с высо- ким статусом. 2.4.2. После достижения границы «новизна / память». 2.4.1.3. Выявление и уничтожение детекторов с самым низким ненулевым статусом. 2.4.1.4. Генерация новых первичных детекторов, отличных от шаблонов «своих». В обеих фазах функционирования общее число детекторов остается постоянным. Детализируем представленную схему работы ИИС.

71 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

В компьютерной системе (КС) в разные моменты возможно присутствие двух видов информационных процессов: легитимных («своих») и нелегитимных («чу- жих»), представляющих потенциальную угрозу нарушения информационной безо- пасности. Число «своих» информационных процессов определено и фикси- ровано: k = 1, 2, …, M. В ходе функционирования КС возможно появление «чу- жих» информационных процессов – . Задача АСИИС состоит в своевремен- ном обнаружении процессов . 1. Фаза предварительного обучения ИИС 1.1. Специальное иммунологическое представление и кодирование инфор- мационных процессов. Все информационные процессы , протекающие в компьютерной системе, как «свои», так и «чужие» представляются конечными последовательностями событий: . При этом легитимным процессам будет соответствовать совокупность конечных

последовательностей . Конкретный вид представления и кодиро- вания отдельных событий процессов определяется прило- жением. В большинстве приложений информационной безопасности события процесса могут быть представлены символами некоторого алфавита А, кодирующими эти события в числовой форме. Количество символов d алфавита А соответствует диапазону изменения чисел в каждой позиции последовательностей , а, следовательно, – перечню всех возможных событий процессов . Числовые значения , кодирующие события процессов , в большинстве приложений компьютерной безопасности могут быть представлены действительными числами, нормированными к фиксированному диапазону d = (min ai, max ai), определяемому приложением. Ключевой операцией в системе мониторинга информационных процессов яв- ляется сопоставление символов процессов, представленных символами по принципу частичного совпадения. Для ее реализации диапазон d удобно представлять m-разрядным двоичным кодом, позволяющим закодировать m m 2 чисел от 0 до 2 1. При этом весь диапазон d = (min ai, max ai) будет содержать m 2 2 интервалов. Соответственно размер интервала равен  = (min ai, max ai) / m (2 2). В таком случае величина ai, изменяющаяся в диапазоне min ai  ai  max ai, m где max ai = min ai + (2 2)d, может быть отнесена к одному из интервалов m j, j = 1, 2, …, (2 2) всего диапазона d с абсолютной ошибкой  и представлена двоичным кодом номера интервала j. Более подробно принцип кодирования событий информационных процессов показан в работе [11].

1.2. Создание шаблона «своих». «Свои» информационные процессы регистрируются в системе путем формировании для каждого из них соответствующего шаблона. Для этого последовательности событий

каждого информационного процесса , представленные симво-

лами алфавита А, разбиваются на множества строк равной длины по l событий в каждой строке. Для образования строк используется скользящее вре- менное окно длиной l символов с шагом сдвига h символов. Каждое такое окно

будет представлять порцию из l событий последовательности . В ко-

нечном итоге каждый легитимный информационный процесс будет представлен набором из n строк по l событий в каждой строке. Каждый k-набор задает ориентированный на применение в ИИС шаблон легитимного про-

цесса .

Раздел II. Безопасность информационных систем и сетей

По описанному принципу формируются шаблоны для всей

совокупности легитимных информационных процессов , . При этом

каждый шаблон состоит из строк по l символов. 1.3. Создание первичного набора детекторов «чужих». Для обнаружения «чужих» информационных процессов вначале создается набор кандидатов в

первичные детекторы . Кандидаты в первичные детекторы генери- руются в виде строк длиной l символов. Числовые значения , коди-

рующие события информационных процессов , генерируется случайно с равномерным законом распределения в заданном диапазоне d. Каждый

образованный кандидат в первичные детекторы поочередно сопос-

тавляется со строками всех ранее сформированных шаблонов

легитимных информационных процессов по принципу частичного совпа- дения. Создаваемый первичный детектор не должен совпадать ни с одной строкой всех имеющихся шаблонов «своих». В соответствии с принятым в имму- нологическом алгоритме отрицательного отбора (АОО) принципом частичного совпадения, две строки совпадают тогда и только тогда, когда они идентичны в r смежных позициях, где r – целочисленный параметр, выбираемый в зависимости от приложения. Параметр r имитирует свойство аффинности иммунной системы – прочности связи между чужеродным агентом (антигеном) и антителом, вырабатываемым им- мунной системой организма. В набор включаются только те первичные детекторы, аффинность которых по сравнению со строками эталонов меньше r. При установлении факта частичного совпадения соответствующий кандидат в первичные детекторы уничтожается. Оставшиеся после уничтожения строки об-

разуют множество первичных детекторов , которые предназна- чены для распознавания «чужих». Процесс создания первичных детекторов про- должается до тех пор, пока не будет сформировано их необходимое число . На этом процесс обучения системы заканчивается. Число первичных детекторов является важным параметром, определяющим основные характеристики ИИС. Выбор этого параметра зависит от приложения и может быть реализован различ- ными способами. Наиболее приемлемым представляется первоначальный ориен- тировочный расчет для обеспечения желаемых характеристик приложения (точ- ности и быстродействия), например, по схеме, приведенной в работах [11, 12], с последующим его уточнением в процессе пробной эксплуатации ИИС. 2. Рабочая фаза ИИС 2.1. Распознавание «чужих». Все порожденные в КС информационные про- цессы , представленные в соответствии с п. 1.1 алгоритма, контро- лируются на предмет аномалий путем сопоставления входящих в них строк с де- текторами. Активация детектора свидетельствует о появлении аномальной строки, т.е. такого сочетания событий, которое отсутствовало в шаблонах легитимных ин- формационных процессов , . Степень отклонения аномальной строки от шаблона «своего» определяется параметром аффинности r. Появление аномаль- ной строки создает прецедент, свидетельствующий о возможной угрозе наруше- ния информационной безопасности. Принятие решения о наличии или отсутствии в КС нелегитимных информа- ционных процессов может быть реализовано по-разному в зависимости от характера приложения и принятой в КС политики безопасности. Представляется возможным использование двух типов правил принятия решения «жесткого» или «мягкого»:

73 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

 «жесткое» решающее правило: ответ «это – чужой» формируется сразу же после срабатывания любого детектора, что соответствует обнаружению в неизвестном информационном процессе строки, отсутствующей в шаблоне легитимных информационных процессов;  «мягкое» решающее правило: ответ «это – чужой» формируется при пре- вышении частоты срабатывания детекторов некоторого порогового значе- ния, что соответствует превышению в неизвестном информационном процессе допустимой частоты появления строк, отсутствующих в шаблоне легитимных информационных процесса. Правила принятия решения фактически задают допустимое количество сов- падений строк неизвестного процесса с детекторами. Превышение этого количест-

ва классифицирует неизвестный процесс как «чужой». Математическая формулировка этих правил приведена в работе [9]. 2.2. Определение статуса детекторов. В течение рабочей фазы функциониро-

вания АСИИС каждый из первичных детекторов множества за период Т своего функционирования с момента начала рабочей фазы и до текущего момента будет в разной степени участвовать в принятии решения «свой – чужой». Одни детекторы срабатывали чаще, другие срабатывали реже, третьи не срабатывали вообще. При каждом срабатывании того или иного детектора система принимала оп- ределенное решение: «свой» или «чужой». Положим, что по окончании этапа 1.3 всем созданным первичным детекто-

рам в качестве начального присвоен нулевой статус .

Будем полагать, что в распоряжении ИИС имеется система аудита, фикси- рующая события безопасности, путем анализа которых апостериори можно уста- новить достоверность принятых ИИС решений «свой – чужой». Используя эту информацию, можно создать механизм управления статусом каждого детектора, функционирующий следующим образом. При использовании в системе «жесткого» решения. Если по очередному прецеденту ИИС приняла решение «это чужой», и это решение по данным аудита

было правильным, то соответствующий сработавший первичный детектор по- вышает свой статус на единицу: . Если по очередному прецеденту

АСИИС приняла решение «это свой», и это решение по данным аудита было пра-

вильным, то соответствующий сработавший первичный детектор , «ответствен- ный» за это решение понижает свой статус на единицу: .

При использовании в системе «мягкого» решения. Изменение статуса произ-

водится по тому же принципу, но не одного первичного детектора , а группе

, состоящей из первичных детекторов, по результатам срабатывания которых было принято соответствующее решение: .

Результатом работы такого механизма будет динамический процесс, проте- кающий за период Т рабочей фазы ИИС, в котором определяются текущие значе- ния статуса первичных детекторов в виде целых чисел со знаком, включая 0. Теперь производится операция сортировки всех значений статуса

первичных детекторов от минимального до максимального. В случае возможных совпадений статуса нескольких первичных детекторов, они распола- гаются группой в порядке возрастания номера детектора . В результа- те получим отсортированный по возрастанию статуса список первичных де-

текторов . Пример списка отсортированных по статусу 100 первичных детекторов приведен на рис. 1, а гистограмма их распре- деления по статусу приведена на рис. 2.

Раздел II. Безопасность информационных систем и сетей

Статус первичных -5 -4 -3 -2 -1 0 1 2 3 4 5 детекторов Число первичных 0 1 3 4 6 50 10 9 7 5 5 детекторов Рис. 1. Пример списка отсортированных по статусу 100 первичных детекторов

Рис. 2. Гистограмма распределения 100 первичных детекторов по статусу

2.3. Установление границы «новизна / память». Смысл функционирования самоорганизующейся ИИС состоит в установлении и поддержании разумного ба- ланса способностей:  к обнаружению новых, ранее не встречавшихся «чужих»;  к сохранению в памяти условий обнаружения уже встретившихся «чужих». Обеспечение указанного баланса в ИИС реализуется путем регулирования численности двух видов детекторов: тех, которые в процессе функционирования системы уже активировались и тех, которые еще не активировались. Первые реа- лизуют иммунологическую память на ранее встретившихся «чужих», вторые соз- дают потенциальную способность к обнаружению новых, ранее не встречавшихся «чужих». При условии сохранения определенного уровня сложности и производитель- ности системы, очевидно, что указанный баланс может обеспечиваться только на основе ограничения общей численности детекторов и поддержания ее на некото- ром постоянном уровне. В таких условиях и ограничениях целесообразно для каждой конкретной реа- лизации ИИС априори установить желаемый баланс указанных способностей в виде границы «новизна / память» между числом детекторов двух видов. Тогда включение механизма «новизна/память» разделит функционирование системы в рабочей фазе на два последовательных этапа: предшествующий достижению гра- ницы и последующий после достижения границы. 2.4. Работа механизма «новизна / память» начинается после появления в списке первого детектора, обнаружившего «чужого» и повысившего свой статус, и продолжается в течение всей фазы функционирования системы.

75 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

На первоначальном этапе, предшествующем достижению границы «новизна / память» работа механизма «новизна / память» сводится к двум подэтапам, выпол- няемым в любой последовательности:  генерируется новый, вторичный детектор, отличный от шаблонов «своих», аффинный к детектору с самым высоким статусом;  выбирается и уничтожается детектор с самым низким статусом. Пусть при мониторинге очередное сравнение текущей строки

событий информационного процесса с первичным детектором создает прецедент, свидетельствующий о возможной угрозе нарушения информа- ционной безопасности. Согласно принятого в АОО принципу частичного совпадения две строки совпадают тогда и только тогда, когда они идентичны в r смежных позициях. Сле- довательно, в строке информационного процесса всегда можно идентифицировать группу из смежных символов ответственную за акти-

вацию первичного детектора , где – номер позиции символа в строке ( – номер позиции символов в группе – величина сдвига между начальным номером позиции символа в строке и начальным номером позиции символа в группе ). При условии, что проверка строк на частичное соответствие проводится

только в соответствующих смежных позициях, вторичный детектор предлага- ется формировать по следующему алгоритму: 1. В строке информационного процесса вызвавшей ак-

тивации первичного детектора идентифицируется соответствующая группа из смежных символов .

2. Генерируется кандидат во вторичные детекторы путем сдвига группы вдоль строки на некоторое число позиций с заполнением остальных позиций строки случайными значениями в заданном диапазоне значений . 3. Как и при создании первичных детекторов, образованный кандидат во

вторичные детекторы поочередно сопоставляется со строками всех ранее сформированных шаблонов легитимных информационных процессов

по принципу частичного совпадения в смежных позициях. При установ- лении факта такого совпадения соответствующий кандидат уничтожается и заме- няется новым. Процедура продолжается до появления нового вторичного детекто-

ра , не совпадающего с шаблонами «своих». Новому вторичному детектору присваивается нулевой статус, и он пополняет список первичных детекторов. Не- смотря на то, что вторичный детектор имеет только нулевой статус, вероятность его активации на информационные процессы, близкие уже обнаруженному «чу- жому» при последующем функционировании системы будет повышена. После удачного формирования вторичного детектора выбирается и уничто- жается детектор с самым низким статусом. Для рассмотренного примера уничтожается единственный детектор со стату- сом -4 (самый низкий статус) и появляется новый детектор с нулевым статусом, который пополняет соответствующую группу с 50 до 51. При этом число детекто- ров остается равным 100. Со временем реализация первого этапа механизма «новизна / память» будет приводить к смещению рабочей точки в численности детекторов в направлении увеличения доли активированных детекторов, составляющих иммунологическую память на ранее обнаруженных «чужих», и уменьшения доли еще не активирован- ных детекторов, составляющих, тем не менее, потенциальную возможность обна- ружения новых «чужих».

Раздел II. Безопасность информационных систем и сетей

Работа механизма «новизна / память» на последующем после достижения границы этапе также сводится к двум подэтапам, выполняемым в любой последо- вательности:  генерируется новый первичный детектор, отличный от шаблонов «своих»;  выявляется и уничтожается детектор с самым низким, не ненулевым ста- тусом. Процедура генерации нового первичного детектора ничем не отличается от изложенной выше в п. 3.1. Назначение этой процедуры – увеличение численности первичных детекторов, с целью обновления способности системы к обнаружению новых, ранее не встречавшихся «чужих». Для компенсации роста численности но- вых детекторов соответственно уничтожается ранее активировавший детектор с самым низким статусом. Логика выбора последнего обусловлена тем, что по дол- жен быть уничтожен самый плохой детектор из числа уже участвовавших в обна- ружении «чужих». Для рассмотренного примера число детекторов с нулевым статусом стано- вится равным 52, а число детекторов со статусом -3 уменьшается на единицу. Непрерывное функционирование ИИС по описанной схеме со временем при- ведет к тому, что рабочая точка в соотношении численности детекторов достигнет заданной границы «новизна / память» и установится на ней окончательно. Рис. 3 поясняет работу механизма «новизна / память» на последовательных стадиях структурной эволюции системы.

Рис. 3. Работа механизма «новизна/память» на последовательных стадиях эволюции системы

В конечном итоге функционирование такой ИИС будут содержать черты как параметрической, так и структурной пластичности. Параметрическая пластичность ИИС реализуется на стадии предварительно- го обучения и заключается в выборе параметров:  иммунологического представления и кодирования информационных про- цессов;

77 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

 реализации процедуры создания шаблонов;  формирования и численности первичного набора детекторов «чужих». Структурная пластичность ИИС реализуется на стадии рабочего функциони- рования в «духе коллективизма»:  выявление и замена слабейших элементов новыми;  удаление лишних, бесполезных элементов;  заполнение ниш, не занятых имеющимися элементами. Таким образом, описанная ИИС в отличие от известных проявляет искомый комбинированный характер функционирования: экзогенный в части защиты от внешних нарушителей и эндогенный в части обеспечения постоянства и целостно- сти внутренней среды и поддержания механизмов внутренней коммуникации.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК 1. Искусственные иммунные системы и их применение / Под ред. Д. Дасгупты: Пер. с англ. / Под ред. А.А. Романюхи. – М.: Физматлит, 2006. – 344 с. 2. Bersini H., Varela F. Hints for adaptive problem solving gleaned from immune networks // Proc. 1st Conf. on Parallel Problem Solving from Nature (Eds. Ft.-P. Schwefel, R. Manner). Springer-Verlag, 1990. – P. 343-354. 3. Bersini FI., Varela F. The immune learning mechanisms: Recruitment reinforcement and their applications // Computing with biological metaphors (Ed. R. Patton). L.: Chapman and Hall, 1994. 4. Detours V., Bersini H., Stewart J., Varela F. Development of an idiotypic network in shape space // J. Theor. Biol. – 1994. – Vol. 170. – P. 401-414. 5. Lundkvist I., Coutinho A., Varela F., Holmberg D. Evidence for a functional idiotypic network among natural antibodies in normal mice // Proc. Natl. Acad. Sci. – 1989. – Vol. 86. – P. 5074-5078. 6. Varela F., Coutinho A., Dupire B., Vaz N. Cognitive networks: Immune, neural and otherwise. In: Theoretical Immunology, V. 2 (Ed. A. Perelson). SFI Series on the Science of Complexity. New Jersey: Addison Wesley, – 1988. – P. 359-375. 7. Varela F.J., Coutinho A. Second generation immune network // Immunol. Today. – 1991. – Vol. 12, № 5. – P. 159-166. 8. Брюхомицкий Ю.А. Предпосылки создания моделей компьютерной безопасности на принципах функционирования иммунных систем // Известия ЮФУ. Технические науки. – 2012. – № 1 (126). – С. 159-165. 9. Брюхомицкий Ю.А. Модель искусственной иммунной системы с двойной пластично- стью // Материалы ХIII Международной научно-практической конференции «Информа- ционная безопасность». Ч. I. – Таганрог: Изд-во ЮФУ, 2013. – С. 147-155. 10. Брюхомицкий Ю.А. Регулирование распознающих свойств искусственных иммунных систем с двойной пластичностью // Материалы ХIII Международной научно- практической конференции «Информационная безопасность». Ч. I. – Таганрог: Изд-во ЮФУ, 2013. – С. 155-161. 11. Брюхомицкий Ю.А. Мониторинг информационных процессов методами искусственных иммунных систем // Известия ЮФУ. Технические науки. – 2012. – № 12 (137). – С. 82-90. 12. Васильев В.И. Интеллектуальные системы защиты информации: учебное пособие. – М.: Машиностроение, 2010. – 163 с. Статью рекомендовал к опубликованию к.т.н. М.Ю. Руденко. Брюхомицкий Юрий Анатольевич – Федеральное государственное автономное образова- тельное учреждение высшего профессионального образования «Южный федеральный уни- верситет»; e-mail: [email protected]; 347928, г. Таганрог, ул. Чехова, 2; тел.: 88634371905; кафедра безопасности информационных технологий; доцент. Bryukhomitsky Yuriy Anatol’evich – Federal State-Owned Autonomy Educational Establish- ment of Higher Vocational Education “Southern Federal University”; e-mail: [email protected]; 2, Chekhov street, Taganrog, 347928, Russia; phone: +78634371905; the department of security in data processing technologies; associate professor.

Раздел II. Безопасность информационных систем и сетей

УДК 004.056.5

Д.А. Кавчук, Е.П. Тумоян, Г.А. Евстафьев ИНТЕЛЛЕКТУАЛЬНЫЙ ПОДХОД К АНАЛИЗУ РИСКОВ И УЯЗВИМОСТЕЙ ИНФОРМАЦИОННЫХ СИСТЕМ

Современные системы управления рисками основаны на анализе большого количества различных факторов, включающих в себя организационные, правовые и иные «нетехниче- ские» факторы, вследствие чего такие системы не способны с достаточной точностью оценить состояние защищенности компьютерной системы организации. В данной работе предлагается интеллектуальный подход к анализу рисков и уязвимостей информационных систем, учитывающий в своей работе реальные данные о состоянии исследуемой системы, а не субъективные оценки экспертов. Целью настоящего исследования является исключе- ние субъективизма в оценке рисков и сокращение времени, требуемого для процесса анали- за рисков и уязвимостей компьютерных системы, что достигается за счет применения математического аппарата искусственной нейронной сети и вероятностного дерева атак. Для оценки эффективности разработанной системы производилась оценка защи- щенности систем семейства Windows, которая доказала соответствие присвоенных сис- темой оценок реальной защищенности исследуемой информационной среды. Анализ рисков; валидация уязвимостей; дерево атак; искусственная нейронная сеть.

D.A. Kavchuk, E.P. Tumoyan, G.A. Evstafiev THE INTELLECTUAL APPROACH TO RISK AND VULNERABILITY ANALYSIS FOR THE INFORMATION SYSTEMS

The existing risk management systems are based on the analyzing plenty of various factors, including organizational, legal and other «non-technical» ones. This leads to inability of such a systems to evaluate the security state of computer system thoroughly. This work suggests the intellectual approach to risk and vulnerability analysis of the information systems. The approach consider the real data about the system under research state rather, than the subjective expert evaluations. The aim of the current research is the exclusion of the subjectivity in risk assessments and the decreasing of time consuming for the process of risk and vulnerability analysis for the computer system. This and is achieved through the use of the mathematical apparatus of the artificial neural network and the probabilistic attack tree. The security assessment for the Windows systems was performed in order to evaluate the efficiency of the developed system. As the result the conformity between the real security of the information system and the assigned evaluations was proved. Risk analysis; vulnerability validation; attack tree; artificial neural network. Введение. Использование информационных систем непосредственно связано с определенной совокупностью рисков, основной причиной которых являются уязвимости информационных технологий и систем. Когда риск становится неприем- лемо велик, необходимо применять экономически оправданные защитные меры для снижения уровня риска либо же полной ликвидации риска. С количественной точки зрения величина риска является функцией вероятности реализации определенной уязвимости. Все современные системы анализа и управления рисками, как отечест- венные, так и зарубежные, опираются в своей работе на весьма субъективные мне- ния экспертов, либо же предполагают применение специальных опросников, на во- просы которых зачастую вынуждены отвечать некомпетентные лица. В этом случае даже использование математически сложных алгоритмов анализа введенных данных никак не поможет повысить качество таких оценок. К тому же, подавляющее боль- шинство систем ориентировано на комплексный подход к анализу и управлению рисками. А при комплексном подходе рассматривается множество лишних для ана- лиза состояния компьютерной системы факторов, поскольку учитываются не только

79 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

технические сферы деятельности исследуемой организации, и вследствие этого ана- лизу уровня угроз непосредственно компьютерной части, обеспечивающей любую деятельность предприятия, не уделяется должного внимания. В данной работе пред- лагается метод и программная система интеллектуального анализа рисков и уязви- мостей информационных систем, опирающиеся на применение математического аппарата вероятностных графов и искусственных нейронных сетей и использующие в своей работе реальные данные о состоянии исследуемой системы. Разработанный метод позволяет произвести количественную оценку рисков (оценить вероятность успешной реализации уязвимостей) для данной информаци- онной системы, а также провести проверку найденных уязвимостей с учетом при- своенных оценок и сформировать рекомендации по уменьшению и ликвидации валидных рисков. 1. Существующие методы и средства. Как уже отмечалось выше, подав- ляющее большинство систем анализа и управления рисками являются комплекс- ными и представляют собой в основном экспертные системы и специализирован- ные опросники, дополненные сложными средствами математического анализа введенных данных. Среди же систем и методик, делающих основной упор на ана- лиз рисков компьютерных систем можно выделить следующие [1]. а) Методика и система RiskWatch Программная система RiskWatch [2] предназначена для проведения анализа рисков и выбора обоснованных мер и средств защиты. В своей работе система ис- пользует методику, состоящую из четырех этапов.  Определение предмета исследования. На данном этапе в систему вносится некоторое множество входных параметров. Среди них: тип исследуемой организации, состав исследуемой системы, базовые требования предпри- ятия в области безопасности. Внутри системы описание входных парамет- ров определенным образом формализуется, причем принятая формализа- ция предусматривает возможность дальнейшей детализации введенных параметров. RiskWatch содержит набор шаблонов, включающих такие ка- тегории, как защищаемые ресурсы организации, потенциальные потери, типовые угрозы и уязвимости, возможные меры защиты, из которых на текущем этапе оператору предлагается отобрать те, которые для организа- ции являются критичными. При этом имеется возможность добавления новых категорий, а также модификации существующих.  Внесение данных, конкретизирующих текущее состояние системы. Дан- ные можно импортировать из отчетов инструментальных средств исследо- вания уязвимостей, либо же ввести вручную. На этом этапе потенциаль- ные уязвимости определяются при помощи опросника, содержащего более 600 вопросов, и определяются частота возникновения каждой из выде- ленных на предыдущем этапе угроз, степень критичности уязвимости и ценность ресурсов. Полученная информация в дальнейшем используется для расчета эффективности внедренных средств защиты.  Оценка рисков. На этом этапе, после установления связей между угрозами, ресурсами и потерями, производится расчет математического ожидания по- терь за год, полученное значение которого принимается в качестве риска.  На последнем этапе работы система генерирует отчеты. К достоинствам данного метода можно отнести следующее: метод анализа рисков достаточно гибок и прост, а трудоемкость работ сравнительно невелика. В числе недостатков основным является метод расчета оценок рисков – математи- ческое ожидание потерь за год не является приемлемой оценкой для любого из оцениваемых рисков.

Раздел II. Безопасность информационных систем и сетей

Программная система RiskWatch выпускается только на английском языке, и кроме того является платной, причем стоимость лицензии достаточно велика: от 15000$ за одно рабочее место для небольшой компании; от 125000$ за корпора- тивную лицензию [3]. б) Методика OCTAVE OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) – методика поведения оценки рисков в организации, разработанная в институте Software Engineering Institute (SEI) при университете Карнеги Меллон (Carnegie Mellon University) [4]. Для оценки потенциальных инцидентов в области безопас- ности и разработки адекватных контрмер разработчики методики предлагают соз- дать группу специалистов, состоящую только из сотрудников организации. При этом особенный упор делается на то, что весь процесс анализа происходит без участия сторонних экспертов и консультативных предприятий в области, т.е. не- посредственно силами организации. OCTAVE предполагает три фазы анализа:  разработка профиля угроз, критичных для предприятия. Для описания профиля предлагается использовать так называемые «деревья вариантов», которые позволяют представить сочетание угрозы и ресурса в формализо- ванном виде;  идентификация инфраструктурных уязвимостей. На данном этапе опреде- ляется инфраструктура, поддерживающая выделенные на предыдущем этапе уязвимые места, и рассматриваются технические компоненты сис- темы, такие как, например, сервера и персональные компьютеры, которые затем проверяются на наличие уязвимостей с использованием сканеров безопасности;  разработка стратегии и планов по обеспечению безопасности. Данная ста- дия включает в себя оценку рисков, которая проводится на базе отчетов по двум предыдущим этапам, причем дается только оценка ожидаемого ущерба, без оценки вероятности, по шкале высокий (high), средний (mid- dle), низкий (low); и формирование планов снижения рисков вместе с оп- ределением мер противодействия угрозам. Сильной стороной OCTAVE является высокая степень гибкости методологии при адаптации под нужны конкретного предприятия, достигаемая благодаря воз- можности самостоятельного выбора критериев. А к недостаткам можно отнести высокую степень участия человека, что неизменно ведет к субъективизму оценки. Методология разработана в основном для применения в крупных компаниях. 2. Предлагаемый метод анализа рисков и уязвимостей. В предлагаемом методе анализ рисков производится на основании информации об исследуемой системе и об уязвимостях системы, а также на основании результатов валидации найденных и предполагаемых уязвимостей. Для осуществления валидации уязви- мостей строится дерево атак для рассматриваемой системы. Предлагаемый метод можно сформулировать следующим образом: 1) Получение информации об исследуемой системе – семейство, версия, service pack, список и баннеры сервисов. osInf = {S, Ver, SP, serv, servB}, где S – семейство ОС; Ver = {ver_i} – конечное множество (к.м.) предположительных версий ОС; SP = {sp_i} – к.м. предположительных service pack ОС; serv = {serv_i} – к.м. сервисов; servB = {servB_i} – к.м. баннеров сервисов. 2) Получение информации об уязвимостях. vulnInf = {vuln_i}, где vuln_i – предположительная уязвимость системы.

81 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

3) Построение дерева атак для целевой системы. Узлы дерева представляют собой эксплойты, ребра – оценки рисков для каждого конкретного листа дерева (эксплойта). Дерево включает все возможные эксплойты для данной операционной системы. G = (V, E), где V – множество вершин: V = {exp_i}, exp_i – допустимый эксплойт: exp_i = F(osInf, vulnInf); E – множество ребер: E = {Ri}, Ri — оценка риска для i-ого экс- плойта. Построение дерева выполняется с использованием эвристического алгоритма на основе информации об уязвимостях системы. В частности, если эксплойт может сработать без предварительных условий, то он размещается в узле с уровнем рав- ным 1 (на следующем за корнем уровне дерева). Если же для успешного срабаты- вания эксплойта необходима реализация некоторых предварительных условий, то он размещается в поддереве, корнем которого является реализующий данные ус- ловия узел [5]. 4) Уточнение дерева атак. Производится оценка риска для каждого выбран- ного эксплойта с учетом информации об операционной системе и эксплойте {osInf | vulnInf }. Оценка риска в данном случае является количественной и представляет собой вероятность успешного срабатывания эксплойта. Для получения вероятно- стной оценки могут использоваться различные техники, в частности таблицы. Од- нако, поскольку пространство анализируемых данных имеет большую размер- ность, то преобразование пространства данных в вероятность с использованием правил или таблиц не позволяет покрыть все варианты входных данных. Для ре- шения данной проблемы используются обобщающие возможности нейронной се- ти. Вычисление риска производится по следующей формуле: Ri = neuronet(normRank, confRef, confTarget), где Ri – оценка риска для i-го эксплойта, normRank – нормированное значение критичности эксплойта, confRef – уровень соответствия эксплойта найденным уяз- вимостям, confTarget – уровень соответствия эксплойта исследуемой операцион- ной системе. Для решения данной задачи была выбрана искусственная нейронная сеть на основе радиальных базисный функций [6]. На вход сети поступает вектор свойств, ассоциированный с рассматриваемым состоянием дерева, а обучение сети произ- водится на основе экспертной оценки, уточненной при построении конкретного дерева атаки. 5) Обход дерева атак. Целью обхода дерева является нахождение упорядочен- ного по значению рисков множества всех поддеревьев, эксплойты в которых акту- альны для данной системы. Мы обходим дерево от корня к листьям по пути с наи- большим уровнем риска. При обработке очередного узла мы запускаем эксплойт с параметрами, наиболее подходящими для данной операционной системы и набора сервисов. Если очередной узел не сработал, то мы производим усечение всего под- дерева с корнем в данном узле, и переходим далее, обходя оставшуюся часть дерева по убыванию условной критичности путей, т.е. по убыванию степени рисков. 6) Построение последовательностей эксплойтов и формирование рекоменда- ций по снижению уровня рисков. Мы строим цепочки сработавших эксплойтов с указанием возможностей, которые может получить атакующий при выполнении эксплойтов из цепочки. Вместе с тем, в том случае, если это возможно, предостав- ляется информация по устранению уязвимостей из цепочки, взятая из открытых источников, таких как стандарты CWE (Common Weakness Enumeration) [7] и OSVDB (Open Sourced Vulnerability Database) [8].

Раздел II. Безопасность информационных систем и сетей

На рис. 1 представлен пример работы предложенной модели. С учетом пра- вил построения и обхода дерева можно утверждать, что в процессе обхода будут достигнуты все допустимые вершины дерева, т. е. экплойты, которые могут срабо- тать на данной ОС. Кроме того, для данного метода можно рассчитать вероятность того, что все актуальные для данной системы эксплойты будут обнаружены за за- данное количество шагов.

Рис. 1. Пример работы предложенной модели

3. Архитектура системы анализа рисков и уязвимостей. Разработанная система включает следующие взаимодействующие компоненты: сканер уязвимо- стей Nessus Security Scanner, сервер системы Metasploit Framework и анализатор, разработанный в среде Matlab и взаимодействующий с другими компонентами системы. Для получения значимой информации для формирования рекомендаций из открытых источников используются скрипты на языке Python. Архитектура системы представлена на рис. 2.

Рис. 2. Архитектура системы

83 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Nessus Security Scanner Nessus применяется для получения информации об исследуемой системе, а именно информации об уязвимостях системы, о типе и версии операционной сис- темы, об открытых портах и активных сервисах, предоставляемых системой. В настоящее время данная информация получается в ручном режиме и со- храняется в виде отчета сканера в формате XML, и затем этот отчет в качестве входного параметра передается программе-анализатору. Metasploit Framework Анализатор взаимодействует с сервером Metasploit Framework в автоматиче- ском режиме. Взаимодействие осуществляется посредством протокола HTTP с применени- ем сериализации данных в формат msgpack. После подключения к серверу запра- шивается база доступных эксплойтов, которая передаётся скрипту для дальнейше- го анализа. Впоследствии системе Metasploit Framework отдается команда на за- пуск определенного эксплойта и получение результатов работы эксплойта. Анализатор Первым этапом работы анализатора в соответствии с предлагаемым методом является сканирование целевой системы. Сканирование производится с использо- ванием сканера уязвимостей Nessus с целью определения типа и версии операци- онной системы, под управлением которой работает ПЭВМ, открытых портов и сервисов, работающих на ПЭВМ, и уязвимостей исследуемой системы. В настоя- щее время сканирование производится в ручном режиме, результаты импортиру- ются в систему анализа. Однако, нет теоретических ограничений на получение информации от другого сканера. Вторым этапом является получение базы эксплойтов из Metasploit Framework. Данный этап выполняется в автоматическом режиме. Далее следует построение дерева атаки. Алгоритм построения дерева атаки базируется на модели деревьев атак с использованием искусственной нейронной сети для решения задачи оценки рисков для узлов построенного дерева и эвристи- ческим алгоритмом построения связей между узлами. При построении дерева атаки выполняется выбор подходящих для эксплуа- тации целевой системы модулей Metasploit на основе анализа полученной на пре- дыдущих этапах информации с последующей генерацией вероятностных оценок рисков для выбранных эксплойтов посредством нейронной сети [9]. На последнем этапе работы анализатора выполняется обход дерева и визу- альное отображение построенного дерева с цветовой индикацией риска для экс- плойта. Для каждого узла дерева запрос на запуск эксплойта с необходимыми па- раметрами отсылается серверу Metasploit Framework. Производится проверка ус- пешности срабатывания эксплойта. В случае, если эксплойт не сработал, все дере- во, лежащее ниже, отсекается. В случае срабатывания эксплойта узел помечается как успешный, и в соответствии с открытыми стандартами формируются рекомен- дации по устранению уязвимостей и снижению уровня данного риска. 4. Результаты тестирования системы. В ходе работы была подобрана сле- дующая размерность сети: 8 нейронов входного слоя, 50 нейронов скрытого слоя и 1 нейрон выходного слоя. Для обучения сети используется выборка из приблизи- тельно шестидесяти векторов, сформированная синтетически. Поскольку разработанная система не имеет на данный момент своих прямых аналогов, оценка эффективности работы системы производилась на основе соот- ветствия присвоенных оценок реальной защищенности исследуемой системы. В процессе тестирования был произведен анализ защищенности и рисков для сис- тем семейства Windows. Результаты приведены в табл. 1.

Раздел II. Безопасность информационных систем и сетей

Таблица 1 Результаты экспериментов Диапазон назначенных Найдено Количество системой уровней риска ОС предполагаемых подтвержденных для подтвержденных уязвимостей уязвимостей уязвимостей Windows XP SP3 200 4 0,6–0,85

Windows XP SP2 200 5 0,6–0,85

Windows 2000 236 7 0,7–0,9

Как видно из представленных результатов, для каждой из систем все под- твердившиеся уязвимости вошли в группу высоких показателей уровней рисков, присвоенных системой, что доказывает эффективность системы при назначении вероятностных оценок рисков, а также ее способность сократить время анализа рисков и уязвимостей до минимального. В соответствии с результатами исследований система имеет ряд преимуществ перед существующими средствами:  Анализирует и учитывает в своей работе реальную информацию об опе- рационной системе и сервисах исследуемой информационной системы.  Рассчитывает вероятностные уровни рисков для эксплойтов и осуществ- ляет валидацию найденных уязвимостей в соответствии с присвоенными уровнями (наиболее критичные эксплойты проверяются первыми).  Обеспечивает визуальное отображение возможных путей атак, формирует рекомендации по устранению уязвимостей и снижению рисков. 5. Дальнейшие исследования. В рамках дальнейших исследований предпо- лагается производить построение и обход графа атаки, что включает запуск не только активных эксплойтов, но и пассивных, а также реализацию многостадий- ных атак. Для более детального анализа безопасности в максимально приближен- ных к реальности условиях предполагается производить учет ответной реакции системы на атакующие воздействия, и в соответствии с этим осуществлять кор- рекцию построенного графа атак.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК 1. Евстафьев Г.А. Сравнительный анализ существующих решений управления рисками ИБ // Неделя науки. – Таганрог: Изд-во ТТИ ЮФУ, 2008. – C. 360-363. 2. RiskWatch Risk assessment [Электронный ресурс] URL: http://riskwatch.com/ (дата обра- щения: 17.10.2013). 3. Куканова Н. Современные методы и средства анализа и контроля рисков информацион- ных систем компаний [Электронный ресурс] URL: http://dsec.ru/ipm-research- center/article/modern_methods_and_means_for_analysis_and_risk_management_of_informati on_systems_of_companies/ (дата обращения: 17.10.2013). 4. OCTAVE Information Security Risk Evaluation [Электронный ресурс] URL: http://www.cert.org/octave/ (дата обращения: 17.10.2013). 5. Тумоян Е.П., Кавчук Д.А. Метод оптимизации автоматической проверки уязвимостей удаленных информационных систем // Безопасность информационных технологий. – 2013. – № 1. – С. 25-30. 6. Хайкин С. Нейронные сети: полный курс. – 2-e изд.: Пер. с англ. – М.: Изд. дом "Виль- ямс", 2006. – 1104 с. 7. Проект CWE [Электронный ресурс] URL: http://cwe.mitre.org/ (дата обращения: 12.08.2013).

85 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

8. Проект OSVDB [Электронный ресурс] URL: http://osvdb.org/ (дата обращения: 12.08.2013). 9. Tumoyan E., Kavchuk D. The method of optimizing the automatic vulnerability validation // Proceedings of the Fifth International Conference on Security of Information and Networks SIN 2012. – 25-27 October 2012. – P. 205-208. Статью рекомендовал к опубликованию д.т.н., профессор Я.Е. Ромм. Кавчук Дарья Александровна – Федеральное государственное автономное образователь- ное учреждение высшего профессионального образования «Южный федеральный универ- ситет»; e-mail: [email protected]; 347928, г. Таганрог, ул. Чехова, 2; тел.: 88634371905; кафедра безопасности информационных технологий; аспирантка. Тумоян Евгений Петрович – e-mail: [email protected]; кафедра безопасности инфор- мационных технологий; к.т.н.; доцент. Евстафьев Георгий Александрович – ООО “Комплексные программные решения”; e-mail: [email protected]; 347900, г. Таганрог, Мариупольское шоссе, 27/2, кв. 305; тел.: 88634605377; инженер-программист. Kavchuk Daria Alexandrovna – Federal State-Owned Autonomy Educational Establishment of Higher Vocational Education “Southern Federal University”; e-mail: [email protected]; 2, Chekhov street, Taganrog, 347928, Russia; phone: +78634371905; the department of security in data processing technologies; postgraduate student. Tumoyan Evgenie Petrovich – e-mail: [email protected]; the department of security in data processing technologies; cand. of eng. sc.; associate professor. Evstafiev Georgyi Alexandrovich – OOO “Complex Program Solutions”; e-mail: [email protected]; 27/2, Mariupolskoe shosse, apt. 305, Taganrog, 347900, Russia; phone: +78634605377; programming engineer.

УДК: 004.056

М.А. Кобилев, Е.С. Абрамов РАЗРАБОТКА АЭРОМОБИЛЬНОГО КОМПЛЕКСА ДЛЯ ПРОВЕДЕНИЯ АУДИТА БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ С ВЫСОКОЙ ФИЗИЧЕСКОЙ ЗАЩИЩЁННОСТЬЮ*

Описываются эксперименты по созданию прототипа лёгкого малозаметного лета- тельного аппарата для проведения удаленного аудита безопасности информационных систем [пентеста]. Была предложена модификация квадрокоптера Parrot AR.Drone 2, предполагающая рациональное использование устройства в задачах анализа безопасности. Прототип работает под управлением Raspberry Pi, дополнительно используется специали- зированный беспроводной сетевой адаптер ALFA AWUS036NHR с направленной антенной и GPS-приёмник. Рассмотрены возможные алгоритм функционирования атакующей системы. Пред- полагается использование прототипа в двух режимах - активного аудита и сервера- ретранслятора. В режиме аудита квадрокоптер непосредственно осуществляет ата- кующее воздействие на целевую сеть. В режиме ретранслятора квадрокоптер может становится передающим сервером для других устройств, расширяя радиус действия ком- плекса, либо передавая данные для анализа на мощный стационарный сервер.

* Работа выполнена при поддержке гранта РФФИ № 12-07-00014-а.

Раздел II. Безопасность информационных систем и сетей

Результат исследования дал возможность создания как пилотируемого, так и беспи- лотного летательного аппарата, способного проникать на охраняемую территорию в целях аудита безопасности или атаки. Квадрокоптер; AR.Drone; пентест; атака; несанкционированный доступ; беспро- водные сети.

M.A. Kobilev, E.S. Abramov DEVELOPMENT OF AIRMOBILE COMPLEX FOR SECURITY AUDIT OF INFORMATION SYSTEMS WITH HIGHLY PHYSICAL SECURITY

The paper describes experiments on a prototype of lightweight low-profile aircraft for re- mote security audit of information systems [so-called pentest]. The topic is a modification of the Parrot AR.Drone quadrocopter 2, implying a rational use of the device for analysis of security. The prototype runs on Raspberry Pi, additionally using a dedicated wireless network adapter ALFA AWUS036NHR with a directional antenna and a GPS-receiver. The possible attacking algorithms were developed. Assumes the use of a prototype in two modes – active audit and the relay server . In audit mode, quadrocopter is involved in the attacking impact on the target network. In relay server mode quadrocopter can forward traffic to the server for other devices , extending the range of the complex or transmitting the data for analysis on the powerful stationary server. The result of the study made it possible to create both manned and unmanned aircraft, able to penetrate the protected area for security audit or attack. AR.Drone; UAV; Raspberry Pi; pentest; attack; unauthorized access; wireless networks; quadrocopter. Введение. Основная задача пентестера – проникновение на вражескую тер- риторию, но на пути к её решению всегда стоят непреступные крепости, обнесен- ные огромным забором с колючей проволокой по периметру, множеством камер видеонаблюдения и штатных охранников возле ворот с надписью «не входи – убь- ет». Увидев такой форт, пентестер приходит в недоумение – «а вдруг правда убь- ет?». Проникнуть незаметно становится невозможным – осада ведется крайне дол- го и безуспешно – все старания пропадают впустую. На помощь приходят доступные и практичные летательные аппараты – муль- тикоптеры [1]. Они используются в киноиндустрии, в охранных [2] и почтовых службах [3], etc. Возможно и их применение в области информационной безопас- ности, а именно, пентеста [4, 5, 6]. 1. Прототип. Устройство, выбранное для примера – Parrot AR.Drone 2 [7]. Основные характеристики представлены ниже, размеры и вес указаны на рис. 1. Отличительные особенности AR.Drone – наличие открытого API [8] и хорошее соотношение цена/качество. Характеристики Parrot AR.Drone 2 Скорость: 5 м/с; 18 км/ч. Время полета:  12 минут – LiPo 1000 mAh - время зарядки 90 минут.  25 минут – LiPo 2300 mAh - время зарядки 2–2,5 часа. Управление: ограничен радиусом работы wifi (50–120 метров). Аппарат приводится в движение четырьмя бесколлекторными 14.5 ваттными электромоторчиками 28 500 об/мин. Безопасность:  Автоматическая посадка при потере сигнала.  Винты автоматически блокируются в случае контакта.  Интерфейс управления позволяет немедленно остановить винты.  Защитный кожух винтов для полёта в помещении.

87 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Видео возможности:  HD Видеокамера: 720p 30fps.  Широкоугольная линза: 92 градуса.  H264 формат кодирования видео.  Видео передается и записывается на устройство управления или на usb- накопитель.  Захват и сохранение изображений в JPEG (720p). Электроника и датчики:  Процессор 1GHz 32 bit ARM Cortex A8 с 800MHz video DSP TMS320DMC64x.  Память 1Gbit DDR2 RAM на частоте 200MHz.  Контроллеры моторов: 8 MIPS AVR CPU.  Wi-Fi b/g/n.  3х осевой акселерометр.  3х осевой гироскоп с углом вращения 2000 градусов/сек.  3х осевой магнитометр с точностью до 6 градусов.  Барометрический датчик с точностью +/- 10 Па (80см над уровнем моря).  60 fps вертикальная QVGA камера для измерения горизонтальной скорости.  Ультразвуковые датчики для измерения высоты полета.  Операционная система Linux 2.6.32.  USB 2.0.

Рис. 1. AR.Drone:размеры и вес

2. Модификация AR.Drone. В стандартной комплектации AR.Drone больше походит на безобидное устройство. Для его вооружения я предлагаю провести ряд модификаций. Структурная схема модифицированного AR.Drone 2 проиллюстри- рована на рис. 2.

Раздел II. Безопасность информационных систем и сетей

Flash memory

bluetooth

[a] Блок WiFi_ [c] питания [b] USB

GPS

Материнская плата [d] Блок навигационных сенсоров ARM Cortex A8

WiFi0 Блок [e] ультразвуковых сенсоров

Рис. 2. Структурная схема модифицированного AR.Drone 2

Таблица 1 Характеристики дрона AR. Drone 2 Raspberry Pi ALFA AWUS036NHR Flight Recorder HD Camera. SoC Broadcom BCM2835 Standards Wireless: Dimen- 720p 30fps (CPU, GPU, DSP, and IEEE 802.11b/g/n sions: 77.7 1GHz 32 bit SDRAM) Data Rate: x 38.3 x ARM Cortex A8 CPU: 700 MHz 802.11b: UP to 11Mbps 12.5mm processor with ARM1176JZF-S core 802.11g: UP to 54Mbps Weight: 800MHz video (ARM11 family) 802.11n: UP to 31g DSP GPU: Broadcom 150Mbps Accuracy: TMS320DMC6 VideoCore IV, OpenGL OS Supported: /- 2 meters 4x ES 2.0, 1080p30 Win/Linux/Mac Frequency: Linux 2.6.32 h.264/MPEG-4 Interface: USB 2.0 5Hz 1Gbit DDR2 Memory RAM: 512 MB Chipset: RTL8188RU Voltage: RAM at Video outputs: Composite Antenna: 5dBi 2.4GHz 3.3V TBC 200MHz RCA, HDMI Antenna Time To USB 2.0 , Wi-Fi Audio outputs: 3.5 mm Antenna Type: 1 x First Fix: b/g/n jack, HDMI 2.4Ghz RP-SMA 25s maxi- Carbon fiber Onboard storage: SD, Frequency Range: 2.412 mum tubes : Total MMC, SDIO card slot ~ 2.483 GHz 4Gb Flash weight 380g 10/100 Ethernet RJ45 Channels: 1~14 memory with outdoor onboard network Sensitivity: (allows 2 hull, 420g with Wi-Fi with USB dongle 11b: -96dBm hours of indoor hull SD/ MMC/ SDIO 11g: -92dBm video to be 4 brushless 2 USB port 11n: -91dBm recorded) inrunner motors. Power: 1mA at 5V Data Modulation Type: USB Port: 14.5W 28,500 Formfactor:85,6x54,0x17 BPSK/QPSK/CCK/OFD Comprises RMP mm M one type A

89 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

8 MIPS AVR Total weight 45g Power Voltage: 5V+5% female CPU per motor Security: USB port controller WEP/WPA/WPA2 to connect 3 elements 1000 Total weight 25g a USB key mA/H LiPo re- drive chargeable bat- Total tery (Autonomy: weight 15g 12 minutes) Emergency stop controlled by software Fully repro- grammable motor controller Water resistant motor’s electronic controller Рассмотрим подробнее предлагаемые модификации: [a] – Стандартную батарею 1000mAh заменить на 2300 mAh –увеличит время полета с 12 до 25 минут. Поставить небольшой резервный источник питания, ко- торый обеспечит возможность срочной передачи данных на сервер (при разряде основной батареи) и удаление данных с Дрона в случае его обнаружения. [b] – USB шина позволяет подключать дополнительные устройства:  Флеш память (минимум 100 Мб свободного места и только в FAT32) нуж- на для сохранения видео.  3G – для передачи данных на сервер и получения команд. [c] – WiFi_ Новый (Взамен WiFi0) интерфейс управления. Поддерживает ал- горитмы защиты WEP/WPA – уменьшает вероятность «угона». PCB антенна 5–6 dBi для увеличения дальности приема. [d] – GPS для автономной работы – автопилот и сохранения координат ата- куемых сетей. [e] – Интерфейс управления теперь служит для анализа. Антенны 2–3 dBi для этих целей вполне достаточно. При необходимости её можно заменить. При модернизации дрона необходимо учитывать вес составных частей – пе- регрузка приведет к уменьшению времени полета, а уменьшение суммарного веса за счет замены деталей конструкции может в будущем привести к деформации корпуса при внешних воздействиях. В случае потери связи с каналом управления wifi, квадрокоптер приземляется – при его обнаружении вражеская сторона получит все данные, хранящиеся в па- мяти устройства. Конечно же, ничего важного там храниться не будет, но для на- дежности канал управления необходимо дублировать по 3G, а дополнительный аккумулятор, в случае разрядки или отключения основного, позволит провести экстренное удаление данных. 3. Алгоритм функционирования квадрокоптера. Один из недостатков управления квадрокоптера AR.Drona – это необходимость присутствие человека. Эту проблему решает автопилот, например PX4FMU [9]. С таким устройством дрон сам может добираться до места атаки, но ему все еще не хватает знаний о поведении на вражеской территории.

Раздел II. Безопасность информационных систем и сетей

Алгоритм, описывающий действия шпиона: 1. Летим до места атаки 2. Прилетели? . Да – goto 3 . Нет . Заряда хватит? . Да – goto 1 . Нет . Садимся – переходим в режим роутера 3. Ждем сигнала от сервера . Нужно атаковать? . Да – атакуем . Проводим анализ . goto 3 4. Летим домой Листинг 1 – Алгоритм функционирования дрона В режиме разведки (рис. 3) первый дрон (attacker_1) получает сигнал от сервера управления (attacker_serv) и отправляется в область предполагаемого присутствия жертвы (target_area). Оказавшись на контрольной точке, наш шпион начинает разведку местности – проводит анализ и выявляет области для возможного проведения атаки. Обнаружив беспроводные сети (target_1, target_2), сохраняет всю доступную инфор- мацию – месторасположения, области наилучшего уровня сигнала, защита, etc.

Рис. 3. Режим разведки

В случае если дрон начинает терять сигнал от сервера, он переходит в режим роутера (рис. 4), что позволяет транслировать управляющие сигналы далеко за пределы доступности сети сервера, использую промежуточные дроны в качестве ретранслятора. Такой сценарий используется, например, при следующих обстоя- тельствах: Первый дрон теряет сигнал от сервера и ему необходимо приземлиться в точке максимально приближенной к области атаки, но при этом с оптимальным уровнем связи с центром управления для трансляции второму дрону (attacker_2), который берет на себя обязанности по анализу и атаке.

91 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Рис. 4. Дрон в режим роутера

4. Анализ перехваченных данных и проведение атаки. Анализ системы состоит из нескольких этапов в зависимости от поставленной задачи: 1. Сбор информации о сетях:  Координаты сетей/уровень сигнала.  Оборудование/Защита.  Количество пользователей/etc. 2. Видео/фото/аудио съемка. Вектора атаки выглядят следующим образом: 1. НСД . Сеть открыта? . Да . анализируем систему . проводим необходимые атаки . отправляем отчет серверу . Нет . WEP - AIRCRACK-NG [10] . WPA1/2 – gpuhash [11] . Goto 1 2. Заглушить сигнал 3G/WiFi/Bloototh.

Листинг 2 – Вектора атаки Заглушив сигнал рабочей сети – можно прервать работу целого офиса. Оди- ночно или в совокупности с другими атаками (например, DoS) заглушка сигнала внутренней сети может привести к большим материальным потерям. Заключение. В будущем размеры «летающих шпионов» будет уменьшаться: например, AR.Drone 2 кажется гигантом на фоне Crazyflie Nano [12], который мо- жет поместиться на ладони, однако его аккумулятора и тяги моторов пока недос- таточно, чтобы поместить на своем борту весь арсенал пентестера. Пока с этой задачей могут справиться только устройства из класса «больших» мультикоптеров, но нанотехнологии стремительно развиваются и я не могу с уверенностью сказать, что будет завтра. А сегодня обычный, легко доступный квадрокоптер, при опреде- ленных модификациях и в умелых руках, может стать вполне серьезным инстру- ментом пентестера, позволяющим скомпрометировать самые защищенные и не- преступные инфокрепости.

Раздел II. Безопасность информационных систем и сетей

БИБЛИОГРАФИЧЕСКИЙ СПИСОК 1. Quadrotor [Электронный ресурс] // интернет-энциклопедия. Режим доступа: http://en.wikipedia.org/wiki/Quadrotor (Дата обращения: 13.05.2013). 2. СТОРОЖЕВОЙ ДРОН: НА ПОСТУ [Электронный ресурс] // Интернет-журнал «Попу- лярная механика». Режим доступа: http://www.popmech.ru/article/12312-storozhevoy-dron/ (Дата обращения: 13.05.2013). 3. Во Франции появятся летающие почтальоны [Электронный ресурс] // Портал. Режим Доступа: http://24gadget.ru/1161053688-vo-francii-poyavyatsya-letayuschie-pochtalony-3- foto.html (Дата обращения: 13.05.2013). 4. Theodore Reed, Joseph Geis, Sven Dietrich. SkyNET: a 3G-enabled mobile attack drone and stealth botmaster. Stevens Institute of Technology, USA, 2011. 5. Hackers Turn The Parrot AR.Drone Into Aerial WiFi Hacking Rig [Электронный ресурс] // Новостной портал. Режим Доступа:http://toucharcade.com/2011/09/12/hackers-turn-the- parrot-ar-drone-into-aerial-wifi-hacking-rig/ (Дата обращения: 13.05.2013). 6. WASP [Электронный ресурс] // Новостной портал. Режим Доступа:http://airobot.ru 2013, http://airobot.ru/news/1972/ (Дата обращения: 13.05.2013). 7. Parrot AR.Drone 2 [Электронный ресурс] // официальный сайт. Режим Досту- па:http://ardrone2.parrot.com/ (Дата обращения: 13.05.2013). 8. AR.Drone API [Электронный ресурс] // Блог. Режим Доступа:https://projects.ardrone.org/ (Дата обращения: 13.05.2013). 9. PX4 Autopilot [Электронный ресурс] // официальный сайт. Режим Доступа:https: // pixhawk.ethz.ch/px4/modules/px4ioar (Дата обращения: 13.05.2013). 10. AIRCRACK-NG [Электронный ресурс] // официальный сайт. Режим Доступа:http: //www.aircrack-ng.org/documentation.html (Дата обращения: 13.05.2013). 11. GPUHASH [Электронный ресурс] // официальный сайт. Режим Доступа: https://gpuhash.com/?menu=en-main (Дата обращения: 13.05.2013). 12. Crazyflie Nano [Электронный ресурс] // Интернет-журнал «Хакер». Режим Доступа: http://www.xakep.ru/post/60070/ (Дата обращения: 13.05.2013). Статью рекомендовал к опубликованию д.т.н., профессор Н.И. Витиска. Абрамов Евгений Сергеевич – Федеральное государственное автономное образовательное учреждение высшего профессионального образования «Южный федеральный универси- тет»; e-mail: [email protected]; 347928, г. Таганрог, ул. Чехова, 2; тел.: 88634371905; ка- федра безопасности информационных технологий; доцент. Кобилев Максим Андреевич – e-mail: [email protected]; кафедра безопасности информа- ционных технологий; студент. Abramov Evgeny Sergeevich – Federal State-Owned Autonomy Educational Establishment of Higher Vocational Education “Southern Federal University”; e-mail: [email protected]; 2, Chekhova street, Taganrog, 347928, Russia; phone: +78634371905; the department of security in data processing technologies; associate professor. Kobilev Maxim Andreevich – e-mail: [email protected]; the department of security in data processing technologies; student.

93 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

УДК 004.7

Л.С. Крамаров, Л.К. Бабенко ОБНАРУЖЕНИЕ СЕТЕВЫХ АТАК И ВЫБОР КОНТРМЕР В ОБЛАЧНЫХ СИСТЕМАХ*

В связи с массовым переходом на облачные вычисления, безопасность в облаке явля- ется одним из наиболее важных вопросов, которые привлекли много научных исследований и разработок в последние несколько лет. В частности, злоумышленники могут изучить уязвимые места облачной системы и скомпрометировать виртуальные машины (VM) для развертывания дальнейших крупномасштабных «Распределенных атак отказ в обслужи- вании» (Distributed Denial of Service, DDoS). DDoS - атаки обычно включают действия на ранней стадии, такие как многоступенчатая эксплуатация уязвимостей, низкочастотное сканирование, использование VM в качестве зомби, и, наконец, DDoS- атаки через зомби VM. В облачных системах, особенно, таких как «Инфраструктура как услуга» (Infrastructure as a Service, IaaS), обнаружить предварительные действия для зомби атаки крайне сложно. Это связано с тем, что пользователи облака могут сами устанавливать уязвимые приложения. Для предотвращения компрометации VM, предлагаются многофаз- ные распределенные детекторы уязвимостей, система мер, а также механизм для выбора контрмер, который строит граф атак на основе аналитических моделей и реконфигури- руемой виртуальной сети. Предлагаемая структура использует протокол управления про- цессом обработки данных (OpenFlow) для программного конфигурирования сети. С его помощью реализуется мониторинг и контролируемая область поверх распределенных про- граммируемых виртуальных коммутаторов, для улучшения обнаружения атак и смягчения их последствий. Сетевая безопасность; облачные вычисления; граф атак; обнаружение атак.

L.S. Kramarov, L.K. Babenko DETECTION OF NETWORK ATTACKS AND COUNTERMEASURE SELECTION IN CLOUD SYSTEMS

Cloud security is one of most important issues that has attracted a lot of research and development effort in past few years. Particularly, attackers can explore vulnerabilities of a cloud system and compromise virtual machines to deploy further large-scale Distributed Denial-of- Service (DDoS). DDoS attacks usually involve early stage actions such as multistep exploitation, low-frequency vulnerability scanning, and compromising identified vulnerable virtual machines as zombies, and finally DDoS attacks through the compromised zombies. Within the cloud system, especially the Infrastructure-as-a-Service (IaaS) clouds, the detection of zombie exploration attacks is extremely difficult. This is because cloud users may install vulnerable applications on their virtual machines. To prevent vulnerable virtual machines from being compromised in the cloud, we propose a multiphase distributed vulnerability detection, measurement, and countermeasure selection mechanism called NICE, which is built on attack graph-based analytical models and reconfigurable virtual network-based countermeasures. The proposed framework leverages OpenFlow network programming APIs to build a monitor and control plane over distributed pro- grammable virtual switches to significantly improve attack detection and mitigate attack consequences. The system and security evaluations demonstrate the efficiency and effectiveness of the proposed solution. Network security; cloud computing; intrusion detection; attack graph. Цели, проблемы, задачи. Недавние исследования показали, что при перехо- де на облачные системы безопасность для пользователей является наиболее важ- ным фактором. Исследования «Ассоциации по безопасности облачных вычисле-

* Работа выполнена при поддержке гранта РФФИ № 12-07-00037-а.

Раздел II. Безопасность информационных систем и сетей

ний» (Cloud Security Alliance, CSA) показывают, что злоупотребление и ненадле- жащее использование облачных ресурсов рассматриваются в качестве важнейших угроз безопасности, при которых злоумышленники могут использовать уязвимо- сти в облаках, а так же ресурсы облачной системы для развертывания других атак. В обычных центрах обработки данных, системные администраторы имеют полный контроль над серверами, поэтому уязвимости могут быть обнаружены и исправле- ны централизованно. Тем не менее, исправления, устраняющие уязвимости в об- лачных центрах обработки данных, могут работать неэффективно и нарушать со- глашение об уровне обслуживания (например, где пользователи имеют привиле- гии для управления программным обеспечением). Кроме того, пользователи обла- ка могут устанавливать уязвимое программное обеспечение на своих VM, что су- щественно снижает безопасность. Задача состоит в том, чтобы эффективно обна- руживать уязвимости и атаки, создать систему реагирования при точном опреде- лении атак и свести к минимуму последствия нарушения безопасности в облаке. В [1] Армбрус говорит, что защита от перебоев в обслуживании является од- ной из важнейших проблем в облачных системах. Здесь инфраструктура является общей, поэтому злоумышленники так же могут использовать ее для разворачива- ния более масштабных атак. В облачной среде атаки являются более эффективны- ми, потому что пользователи обычно разделяют вычислительные ресурсы, напри- мер, будучи подключенными через некие коммутирующие устройства, они делят оперативную память и файловую систему, с потенциальным злоумышленником. Это справедливо и для методов виртуализации, виртуальных ОС, программного обеспечения, виртуальной сети и так далее. Все это привлекает злоумышленников атаковать и компрометировать множество VM. В этой статье предлагается многоуровневая система обнаружения вторжений. Для лучшего обнаружения атак, используется сценарий графа атак (Scenario Attack Graph, SAG), включенный в аналитические процедуры обнаружения вторжений. Нужно отметить, что мы не намерены улучшить существующие алгоритмы обна- ружения вторжений. Мы используем реконфигурирование виртуальной сети, по- зволяющее обнаруживать и противодействовать использованию зомби VM. Предлагается использовать два основных этапа: 1. Развернуть легковесные сетевые системы обнаружения вторжений (Network Intrusion Detection System, NIDS) на каждом облачном сервере для анализа трафика. Периодически сканировать уязвимости виртуальной системы для построения сценария графа атак, а затем в зависимости от серьезности выявленных уязвимостей, решать ставить VM на полный ана- лиз или нет. 2. После того как VM проходит полный анализ, можно провести реконфигу- рацию сети, чтобы сделать потенциальные атаки более заметными. Предложенное решение значительно совершенствует имеющиеся NIDS и системы предотвращения вторжений (Intrusion Prevention System, IPS). Используя программируемые виртуальные сети, мы можем построить динамически реконфи- гурируемые IPS. Зеркалирование трафика методом программной коммутации по- зволяет минимизировать воздействие на трафик пользователей по сравнению с IPS/IDS, работающими на шлюзе или прокси. Программируемая виртуальная сете- вая архитектура так-же позволяет создать облако инспекции и карантина для по- дозрительных VM в соответствии с текущим состоянием уязвимостей в SAG. На основе коллективного поведения VM в облаке можно определить действия для подозрительных VM, например, глубокий анализ или фильтрация трафика. Ис- пользуя этот подход, не нужно блокировать транспортные потоки подозрительной VM на ранней стадии атаки. На текущем этапе разработано следующее:

95 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

 система представляет новую многофазовую распределенную сеть для обна- ружения и предотвращения вторжений в рамках виртуальной сетевой среды;  ПО для помещения в карантин и проверки подозрительных VM, чтобы можно было провести дальнейший анализ, не прерывая работу облака;  используется новый подход с графом для обнаружения и предотвращения атак методом сопоставления поведения атаки, а так-же производится рас- чет и выбор эффективных контрмер. Модель угроз. В модели атак предполагается, что злоумышленник может находиться как снаружи так и внутри виртуальной сети. Основной целью атакую- щего является компрометация VM и ее использование в качестве зомби. Модель защиты VM основана на обнаружении атак и реконфигурировании сети для улуч- шения устойчивости к атакам, и исследования зомби VM. Нужно отметить, что работа не связана с IPS, которые необходимо устанавливать на отдельных VM, и не обрабатывает зашифрованный трафик. Данное решение можно применить к облачной инфраструктуре и предпола- гается, что провайдером сервисных услуг можно пренебречь. Также считается, что пользователи облачных сервисов могут устанавливать любые операционные сис- темы и приложения, даже если такие действия могут привнести уязвимости в VM. Физическая безопасность облачных серверов выходит за рамки данной статьи. Предполагается, что гипервизор безопасен и без уязвимостей. Вопрос о пользова- телях, которые могут выходить из виртуального окружения и получать доступ к физическому серверу был изучен в работе [2] и выходит за рамки данной статьи. Модель графа атак. Граф атак является инструментом моделирования, ил- люстрирует все возможные многоуровневые, мультинаправленные пути атак, яв- ляется ключевым моментом к пониманию угроз, а так-же определяет соответст- вующие контрмеры. В графе атак каждый узел представляет либо предварительное условие, либо последовательность эксплуатаций уязвимостей. Подобные действия не всегда представляют атаки, потому, что взаимодействия в нормальной работе протокола могут быть использованы для атак. Граф атак является полезным для выявления потенциальных и известных угроз в облачной системе. Поскольку граф атак содержит полную информацию о всех известных уязви- мостях в системе и информацию о соединениях, мы получаем полное представление текущей безопасности системы, где можно прогнозировать возможные угрозы и нападения, обнаруженные путем сопоставления событий и активности в сети. Если событие признано потенциальной атакой, мы можем применить конкретные меры, чтобы смягчить ее последствия или принять меры чтобы предотвратить заражение облачной системы. В результате таких действий мы расширяем обозначения логики графа атак MulVAL, как представлено в [3] и определяем сценарий графа атак. Определние 1. SAG = (V, E), где 1. обозначают множество вершин, включающих три типа, а именно Nc – эксплуатируемая уязвимость, Nd – результат эксплуатации уязви- мости и Nr – начальный шаг сценария атак. 2. обозначает множество ориентированных ребер. Ребро предполагает, что Nd удовлетворяет достижимости Nc. Ребро означает, что последовательность Nd может быть по- лучена, если Nc будет выполнено. Узел определен как три последовательности (Hosts; vul; alert) пред- ставляющие набор IP адресов, информацию об уязвимости в общей базе уязвимо- стей (Common Vulnerabilities and Exposures, CVE), и предупреждения связанные с Vc. Nd действует как логика ИЛИ и включает результаты действий. Nr представ- ляет корневой узел SAG.

Раздел II. Безопасность информационных систем и сетей

Для соотношения оповещений мы ссылаемся на метод, описанный в [3] и оп- ределяем новый граф взаимосвязанных оповещений (ACG) для отображения опо- вещений ACG в соответствующие узлы SAG. Чтобы сохранять прогресс атаки, мы отслеживаем IP адреса источника и назначения. Определение 2. ACG = (A, E, P), где 1. A – набор агрегированных оповещений. Оповещение a ϵ A есть данные со структурой (src, dst, cls, ts) представляющее IP адреса источника, назначе- ния, тип оповещения и его временную метку. 2. Каждое оповещение отображается на пару вершин (Vc, Vd) в SAG, ис- пользуя функцию map(a), т.е. map(a): а 3. E – набор ориентированных ребер представляющий соотношение между двумя оповещениями (a, a’) если выполняется условие: a. b. . 3. P – набор путей в ACG. Путь Si P представляет набор связанных опове- щений в хронологическом порядке. Мы предполагаем, что A содержит обработанные оповещения. Необработан- ные оповещения, имеющие те же адреса источника, назначения, типа атаки и мет- ки времени в пределах указанной области считаются как мета оповещения. Каждая упорядоченная пара (a, a’) в ACG отображается на две соседних в SAG с отметкой времени отличной от пороговой. ACG представляет оповещения в хронологиче- ском порядке, поэтому для него в сценариях атак есть соответствующие оповеще- ния. Множество P используется для хранения всех путей от корневых до целевых оповещений в SAG и каждый путь Si P представляет предупреждения, принад- лежащие к тому же сценарию атак. SAG и ACG используются вместе, чтобы прогнозировать поведение зло- умышленника. Предупреждение взаимосвязанного алгоритма следует для каждого обнаруженного оповещения и возвращает один или несколько путей Si. Каждое оповещение ac, которое было получено с IDS добавляется в ACG, если его там не было. Для этого новые оповещения ac, соответствующие вершинам в SAG обна- руживаются функцией map(ac). Для этой вершины в SAG, оповещения связанные с его родительской вершиной типа Nc, объединяются с текущим оповещением ac. Это создает новый набор оповещений, которые принадлежат к пути Si в ACG или новый разделенный путь Si + 1 из подмножества Si перед оповещением с добав- ленным ac к Si + 1. В конце этого алгоритма идентификатор ac будет добавлен к атрибутам вершины оповещения в SAG. Первый алгоритм возвращает набор путей атаки S в ACG. Модель защиты виртуальных машин. Модель защиты VM состоит из ин- дексатора безопасности и монитора состояний. Мы указываем индекс безопасно- сти для всех VM сети в зависимости от различных факторов, таких как соедине- ния, количество предоставленных уязвимостей и их оценка воздействия. Оценка уязвимости, определенная в общей системе оценки уязвимостей [4] (Common Vulnerability Scoring System, CVSS) позволяет судить о конфиденциальности, це- лостности и доступности после эксплуатации этой уязвимости. Подключение мет- рики VM решается путем оценки входящих и исходящих соединений. Определение 3. Состояние виртуальной машины основано на информации, собранной с контроллера сети, и может принимать следующие значения: 1. Стабильное. На этих виртуальных машинах нет известных уязвимостей. 2. Уязвимое. Наличие одной или нескольких уязвимостей, которые не ис- пользованы.

97 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

3. Эксплуатируемое. Хотя бы одна уязвимость была использована и VM на- ходится под угрозой. 4. Зомби. VM находится под контролем злоумышленника. Измерение безопасности, смягчение действий атак и контрмеры. Здесь представлен выбор контрмер для полученного сценария атак. При обнаружении уязвимостей или подозрительных VM, некоторые контрмеры могут быть приме- нены для ограничения возможностей злоумышленника. Контрмеры служат для защиты VM от компрометации и делают более заметным поведение атакующего для идентификации его действий. Измерение метрик безопасности. Среди различных подходов, использование графа атак в качестве метрической модели безопасности для оценки рисков безопас- ности является хорошим выбором. Для оценки состояния и вероятности рисков сете- вой безопасности текущей конфигурации сети, необходимы метрики безопасности в графе атак. После чего граф атак строит информацию об уязвимостях. Для внутренне- го или внешнего узла, выбирается приоритетная вероятность равная вероятности угро- зы, источник становится активным и препятствует эксплуатации уязвимости. Мы ис- пользуем Gv, чтобы обозначить приоритет вероятности риска для корневого узла гра- фа и обычно значению Gv присваивается высокая вероятность, например от 0,7 – 1. Для использованного внутреннего узла, каждый шаг атаки есть узел e ϵ Nc и имеет вероятность эксплуатации уязвимости обозначенную как Gm[e]. Gm[e] на- значается в зависимости от базовой метки CVSS. Базовая метка вычисляется на основе влияния и эксплуатационного фактора уязвимости. Базовая метка может быть получена непосредственно из национальной базы уязвимостей [5] (National Vulnerability Database, NVD) по идентификатору CVE (1) где ,

, и

Величина воздействия IV вычисляется из трех основных параметров безо- пасности, а именно конфиденциальность (С), целостность (I) и доступность (A). Оценка уязвимости (E) состоит из вектора доступа (AV), сложности доступа (AC) и экземпляра аутентификации (AU). Значение базовой метки в диапазоне от 0 до 10. В графе атак присваиваем каждому внутреннему узлу с его базовой меткой значение, деленное на 10: . (2) В графе атак отношения между эксплуатируемыми атаками могут быть свя- зывающими или разделяющими согласно своим условиям зависимости. Такие от- ношения могут быть представлены в виде условных вероятностей, когда вероятно- стный риск текущего узла определяется связью с его предшественниками и их ве- роятностными рисками. Мы предлагаем следующий вывод вероятности:  Для любого шага атаки, узел n Nc с непосредственными предшествен- никами устанавливает W = parent(n) ; (3)  Для любой части узла n Nd с непосредственными предшественниками W = parent(n), и затем (4) Условные вероятности назначены всем внутренним узлам в SAG и можно объединить значения рисков от всех предшественников для получения кумулятив- ной вероятности риска или абсолютной вероятности риска для каждого узла в со- ответствии с (5) и (6). На основе распределения условных вероятностей на каждом узле мы можем получить эффективную безопасность усиления плана или страте- гии смягчения последствий.

Раздел II. Безопасность информационных систем и сетей

 Для любого шага атаки, узел n Nc с непосредственными предшествен- никами устанавливает W = parent(n) ; (5)  Для любой части узла n Nd с непосредственными предшественниками W = parent(n), и затем . (6) Стратегии смягчения последствий. Стратегии смягчения последствий ос- нованы на метках безопасности, которые были определенны в предыдущем под- разделе. Появляется возможность создания смягчающей стратегии в ответ на об- наруженные сигналы. Так же мы определяем термин область контрмер: Определение 4. Область контрмер CM = {cm1, cm2,…cmn} есть набор контрмер. Каждая cm CM, как последовательность cm = (стоимость, изменение, состояние, эффективность), где: 1. Стоимость блока, описывающего расходы необходимые для применения контрмер в плане ресурсов и сложности эксплуатации, определяется в диапазоне от 1 до 5, более высокая метрика означает более высокую стои- мость. 2. Изменение отрицательный эффект контрмер привносимый в SLA, и его значение колеблется от незначительного 1 к более значительному 5. Если контрмеры не имеют воздействия на SLA значение изменения равно 0. 3. Условие, является требованием для соответствующих контрмер. 4. Эффективность это процентная вероятность изменения узла, для которого эта контрмера применена. В общем случае, есть множество контрмер, которые могут быть применены к облачной виртуальной сети в зависимости от доступных методов. Несколько об- щих контрмер для виртуальных сетей приведены в табл. 1. Таблица 1 Возможные типы контрмер № Контрмера Стоимость 1 Перенаправление трафика 3 2 Изоляция трафика 2 3 Глубокий анализ трафика 3 4 Создание правил фильтрации 2 5 Изменение MAC адреса 1 6 Изменение IP адреса 1 7 Блокировка порта 1 8 Программное исправление 4 9 Карантин 2 10 Реконфигурация сети 5 11 Изменение топологии сети 5 Стратегия изменения конфигурации сети в основном связана с действиями на втором и третьем уровнях сетевой модели OSI. На втором уровне, виртуальные мосты и виртуальные локальные сети, являющиеся основным компонентом для соединения двух VM в облачной виртуальной сети. Виртуальные мост является объектом, который соединяет VIFs (виртуальные интерфейсы). VM на разных мос- тах изолированы на втором уровне. VIFs на одном виртуальном мосту, но с раз- ными тегами VLAN не могут общаться друг с другом напрямую. Основываясь на изоляции второго уровня, можно организовать реконфигурацию сети, для изоля- ции подозрительных VM. В результате этой контрмеры исключаются пути атак в графе, заставляя атакующего исследовать альтернативные пути. Третий уровень

99 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

реконфигурации это еще один способ исключить путь атаки. Через контроллер сети на каждом (Open Flow Switch OFS) или (Open Virtual Switch, OVS) может быть модифицирована таблица потоков для изменения топологии сети. Следует отметить, подход реконфигурирования виртуальной сети на нижнем уровне имеет преимущество в том, что на верхних уровнях приложения будут ис- пытывать минимальное воздействие. В частности такой подход возможен только при использовании программного коммутатора для автоматической реконфигура- ции в динамической среде. Такая контрмера, как изоляция трафика может быть реализована на OVS и OFS, ограничивая и перенаправляя подозрительные потоки. Когда в виртуальной сети обнаруживается подозрительная активность или скани- рование портов, важно определить являются ли эти действия злонамеренными. В такой ситуации, изменение конфигурации сети заставит злоумышленника вы- полнить больше исследований, что в свою очередь сделает его поведение более заметным. Выбор контрмер. Выбор контрмер описан следующим алгоритмом. На вход подается оповещение, граф атак G и область контрмер CM. Выбирается узел Valert, соответствующий порожденному оповещению. Прежде чем выбрать контрмеры мы рассчитываем расстояние от Valert до узла назначения, если рас- стояние больше чем пороговое значение, то выбор контрмер не выполняется, но обновляется ACG для отслеживания оповещений в системе. Для узла источника Valert, все достижимые узлы (включая исходный узел) собраны в набор T. По- скольку сигнал тревоги генерируется только после того, как злоумышленник вы- полнил действия, устанавливается вероятность Valert в 1 и вычисляются новые вероятности для всех его дочерних узлов в множестве T. Теперь для всех t T применимы выбранные из CM контрмеры, и новые вероятности рассчитываются по эффективности выбранных контрмер. Изменение вероятности целевого узла дает преимущество для прикладного использования контрмеры. Следующим эта- пом вычисляется возврат инвестиций для каждой примененной контрмеры. При- мененные к узлу контрмеры, дающие наименьшее значение возвращаемых инве- стиций, считаются оптимальными. Наконец SAG и ACG так же обновляются перед завершением алгоритма. Сложность алгоритма , где |V| номер уязви- мости и |CM| номер контрмеры. Выводы. Мы предоставили комплексный подход для обнаружения и смягче- ния последствий атак в облачной виртуальной сети. Подход использует граф атак для обнаружения и прогнозирования атак, а так же возможности программирова- ния виртуальных сетевых устройств, для обнаружения и защиты VM.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК 1. Armbrust M., Fox A., Griffith R. A View of Cloud Computing // ACM Comm. – Apr. 2010. – Vol. 53, № 4. – С. 50-58. 2. Keller E., Szefer J., Rexford J., Lee R. B. NoHype: Virtualized Cloud Infrastructure without the Virtualization. Proc. 37th ACM Ann. Int’l Symp. Computer Architecture (ISCA ’10), June 2010. – P. 350-361. 3. Roy A., Kim D.S., Trivedi K. Scalable Optimal Countermeasure Selection Using Implicit Enu- meration on Attack Countermeasure Trees. Proc. IEEE Int’l Conf. Dependable Systems Net- works (DSN ’12), June 2012. 4. Mell P., Scarfone K., Romanosky S. Common Vulnerability Scoring System (CVSS),” http://www.first.org/cvss/cvss-guide.html, May 2010. 5. National Institute of Standards and Technology, “National Vulnerability Database, NVD,” http://nvd.nist. gov, 2012. Статью рекомендовал к опубликованию д.т.н., профессор Я.Е. Ромм.

100

Раздел II. Безопасность информационных систем и сетей

Бабенко Людмила Климентьевна – Федеральное государственное автономное образова- тельное учреждение высшего профессионального образования «Южный федеральный уни- верситет»; e-mail: [email protected]; 347928, г. Таганрог, ул. Чехова, 2, корпус "И"; тел.: 88634312018; кафедра безопасности информационных технологий; профессор. Крамаров Леонид Сергеевич – e-mail: [email protected]; кафедра безопасности ин- формационных технологий; аспирант. Babenko Lyudmila Klimentevna – Federal State-Owned Autonomy Educational Establishment of Higher Vocational Education “Southern Federal University”; e-mail: [email protected]; Block “I”, 2, Chehov street, Taganrog, 347928, Russia; phone: +78634312018; the department of security of information technologies; professor. Kramarov Leonid Sergeevich – e-mail: [email protected]; the department of security of information technologies; postgraduate student.

УДК 004.056

Я.В. Тарасов, О.Б. Макаревич МОДЕЛИРОВАНИЕ И ИССЛЕДОВАНИЕ НИЗКОИНТЕНСИВНЫХ DOS-АТАК НА BGP-ИНФРАСТРУКТУРУ*

Представлены результаты анализа и имитационного моделирования исследования атак типа «отказ в обслуживании» на различные сервисы хранения, обработки и передачи данных в сети Интернет. Основное внимание уделено имитации низкоинтенсивных DoS- атак на инфраструктуру глобального протокола динамической маршрутизации BGP (Border Gateway Protocol). В качестве программного обеспечения были выбраны apache2, nginx, quagga, debian, vmware и citrix xenserver с использованием самых популярных вариан- тов конфигурации. В некоторых случаях специально модифицировались конфигурационные параметры для снижения безопасности служб, что бы получить заранее предполагаемые результаты для сравнения. В рамках исследования были проанализированы уязвимости протоколов передачи данных транспортного и прикладного уровня, приводящие к возмож- ности реализации угрозы низкоинтенсивных DoS-атак. Данное исследование должны на- глядно продемонстрировать способы реализации атак данного типа на реальные вычисли- тельные системы и вычислительные сети. Результатом проведения исследования являет- ся оценка критичности низкоинтенсивных атак типа отказ в обслуживании на инфра- структуру BGP. Ннизкоинтенсивные DoS-атаки; Border Gateway Protocol; моделирование атак; безо- пасность вычислительных сетей.

Y.V. Tarasov, O.B. Makarevich MODELING AND STUDY OF LOW-INTENSITY DOS-ATTACKS ON BGP-INFRASTRUCTURE

The results of the analysis and simulation study of attacks such as " denial of service " for a variety of services that store, process and transmit data to the Internet. Focuses on the simulation of low-intensity DoS-attacks on the infrastructure of the global dynamic routing protocol BGP (Border Gateway Protocol). As the software was chosen apache2, nginx, quagga, debian, vmware and citrix xenserver using the most popular configuration options . In some cases, specially modified configuration parameters to reduce the security services, which would get pre- expected results for comparison. The study analyzed the vulnerability of data communication protocols of the

* Работа выполнена при поддержке грантов РФФИ № 12-07-00013-а, РФФИ № 12-07-00014-а.

101 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences transport and application layer , leading to the possibility of the threat of low-intensity DoS- attacks . This study should demonstrate how to implement this type of attack on the real computer systems and computer networks . The result of the study is to assess the criticality of low-intensity attacks such as denial of service on the infrastructure of BGP. Low-rate DoS-attacks; Border Gateway Protocol; attack modeling; security of computer networks. Введение. DoS-атаки нацелены как на сети в целом, серверные кластеры, так и на конечные хосты, их задачей является максимальное потребление предостав- ляемых ресурсов с целью значительного ухудшения или прекращения предостав- ления сервиса нормальным пользователям. Обычно атакуемыми ресурсами явля- ются: ширина канала, процессорное время серверов и роутеров и конкретные реа- лизации протоколов. В качестве примеров можно привести SYN-атаку, нацелен- ную на переполнение стека TCP операционной системы; направленные широко- вещательные ICMP-атакуемому отправляются подобные пакеты, ответы от него снижают пропускную способность сети; DNS флуд атаки, использующие опреде- ленную слабость протокола DNS и направленные на существенное увеличение трафика к атакуемому. Основной способ распознавания DDoS-атаки заключается в обнаружении аномалий в структуре трафика. Традиционные механизмы обеспечения безопасно- сти – межсетевые экраны и системы обнаружения вторжений – не являются эф- фективными средствами для обнаружения DDoS-атак и защиты от них, особенно атак трафиком большого объема [1, 2]. Фундаментальной предпосылкой для обна- ружения атак является построение контрольных характеристик трафика при рабо- те сети в штатных условиях с последующим поиском аномалий в структуре тра- фика (отклонения от контрольных характеристик) [3]. Аномалия сетевого трафика – это событие или условие в сети, характеризуемое статистическим отклонением от стандартной структуры трафика, полученной на основе ранее собранных про- филей и контрольных характеристик. Любое отличие в структуре трафика, превы- шающее определенное пороговое значение, вызывает срабатывание сигнала трево- ги. Вместе с тем, существующие методы обнаружения DDoS-атак, позволяющие эффективно распознавать DDoS-атаки транспортного уровня (SYN-флуд, UDP- флуд и другие), малоэффективны для обнаружения низкоинтенсивных DDoS-атак (Low-Rate DDoS) прикладного уровня («медленный» HTTP GET флуд и «медлен- ный» HTTP POST флуд) [4]. Данный класс DDoS-атак возник сравнительно недав- но и на сегодняшний день представляет основную угрозу доступности информа- ции в распределенных компьютерных сетях [5, 6]. Отличить трафик, генерируе- мый в ходе данных атак, от легального HTTP-трафика достаточно сложно, кроме того, каналы передачи данных практически не перегружаются. Данные атаки при- водят к потерям запросов и ответов, т.е. фактическому отказу веб-серверов на ос- нове Microsoft IIS, Apache и других систем. Кроме того, атака может быть адапти- рована для воздействия на SMTP и даже на DNS-серверы. Данные факты обуслав- ливают необходимость изучения механизмов низкоинтенсивных распределенных атак прикладного уровня типа «отказ в обслуживании» в компьютерных сетях при помощи методов имитационного моделирования. 1. Анализ механизма Low-Rate DDoS. Общим фактором, необходимым для осуществления Low-Rate DDoS атак, является наличие большого количества ком- прометированных или добровольно участвующих хостов и грубое "заваливание" пакетами атакуемый узел. Именно «грубость» в реализации данных атак может свести на нет весь эффект в случае обнаружения больших объемов аномального трафика сетевыми мониторами [2, 7].

102

Раздел II. Безопасность информационных систем и сетей

Low-Rate DDoS-атаки представляют из себя периодический трафик малого объема, то есть всплески. В момент, когда открытая сессия подключения должная закрыться по таймауту, посылается новый всплеск для поддержания данной сессии в открытом состоянии. Постепенно буфер маршрутизатора или сервера будет пе- реполнятся, что приведет к отказу обработки легитимного трафика. При таком подходе не требуется большой пропускной способности и вычислительной мощ- ности у атакующей стороны. Показательным примером являются DoS-атаки, направленные на снижение полосы пропускания TCP потоков трафика, осуществляемые с низкой интенсивно- стью во избежание обнаружения. Используя уязвимость в механизме таймаута повторной передачи TCP-стека, можно добиться нулевой пропускной способно- сти, путем смешивания с основным трафиком специально подобранных шаблонов DoS-трафика. Управление полосой пропускания в TCP осуществляется на 2-х временных шка- лах. На малой временной шкале отметки времени прохождения пакетов по каналу связи до адресата и обратно (RTT), обычно от 10 до 100 миллисекунд, TCP-стек ис- пользует аддитивно-мультипликативноe (в оригинале additive-increase multiplicative- decrease) управление (AIMD) для передачи каждого потока трафика на одинаковых скоростях через самое узкое место, т.н. бутылочное горлышко. Когда канал связи на- чинает «забиваться» и возникает большое количество потерь, TCP-стек начинает ра- ботать по 2-й, большей временной шкале с отметками таймаутов повторной передачи пакетов (RTO, рекомендованное минимальное значение 1 секунда). Что бы избежать «забития» канала, поток трафика уменьшается до одного пакета и по прошествии вре- мени RTO пакет пересылается заново. При последующих потерях, время RTO удваи- вается с каждым следующим таймаутом. В случае удачного получения пакета, TCP-стек начинает использовать AIMD-управление [8]. Для проведения Low-Rate DoS-атаки необходимо взять потоки трафика в ви- де импульсов и рассмотреть периодические импульсные атаки, состоящие из ко- ротких пиков со специально подобранной длительностью, повторяющихся с опре- деленной, специально выбранной, частотой по медленной временной шкале. Если для первого потока TCP-трафика общий трафик (DoS-атаки и обычный) в течение пика достаточен, чтобы произошли потери пакетов, то этот поток "отвалится" по тайм-ауту и будет произведена попытка отправить новый пакет по прошествии времени RTO. В случае, если периодичность посылки DoS-трафика совпадает (да- же примерно) с RTO нормального трафика, обычный трафик будет постоянно по- лучать таймаут, как следствие, потери будут приближаться к 100 % и пропускная способность приблизится к нулю. Кроме того, если период DoS-посылок примерно равен, но лежит вне диапазона RTO, то будет наблюдаться существенное (но не полное) снижение полосы пропускания. Более подробно данный механизм рас- смотрен в работе [7], а механизм таймаута TCP-стека в [8]. 2. Описание системы исследования атак типа отказ в обслуживании 2.1. Аппаратная составляющая экспериментального стенда. Во время моделирования сетевого взаимодействия, использовались технологии виртуализа- ции, для обеспечения чистоты экспериментальных данных. Так как системы виртуа- лизации позволяют создавать изолированные виртуальные машины с набором выде- ленных ресурсов. Для каждой виртуальной машины выделяется процессорное время и оперативная память, при исчерпании, которых не будет происходить вмешательст- ва в ресурсы других виртуальных машин. Так же системы виртуализации позволяют изменять пропускную способность виртуальных сетей и регулировать потери при передаче данных в этих сетях, тем самым можно создать модель, максимально близ- ко приближенную к реальным условиям в глобальных сетях.

103 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

В качестве аппаратной площадки использовался персональный компьютер на базе процессора Intel Core i7-3770 с тактовой частотой 3,4 ГГц, объемом оператив- ной памяти в размере 16 Гб и высокоскоростной твердотельный жесткий диск объемом 120 Гб. На компьютер был установлен «Citrix XenServer 6.1», является бесплатно распространяемым продуктом компании Citrix, с активированным параметром в BIOS – аппаратная виртуализация. 2.2. Программная составляющая экспериментального стенда. Для иссле- дования различных видов атак типа отказ в обслуживании была создана среда, в которой для передачи, хранения и обработки информации используются сетевые протоколы различных уровней модели OSI. В ходе проведения экспериментов бы- ли выделены более критичные протоколы прикладного уровня и для проведения были настроены самые распространенные сервисы сети интернет: HTTP, DNS, BGP, ICMP. Для моделирования атаки на HTTP были сконфигурированы веб-серверы nginx и Apache2. Разрешением доменных имен в тестовой сети занимаются серви- сы под управлением bind9. В сети, изображенной на рис. 1, для приближения к реальным условиям сети интернет организованна сильно разветвленная топология с динамической маршрутизацией для обеспечения бесперебойной доступности узлов сети и сервисов.

Eth0: Eth0: 192.168.0.3 192.168.10.10 Eth1: 129.168.10.1 Eth2: 192.168.14.2 Net10 Host10-n10 Eth0: Rx/Tx 192.168.10.10 192.168.253.2 100/100

Net14 Rx/Tx Net0 1.5/1.5 Rx/Tx R03 Net14 Eth0: 100/100 Rx/Tx Net253 192.168.12.2 Net0 1.5/1.5 Rx/Tx Eth1: Rx/Tx 1000/1000 192.168.13.1 Net0 100/100 Main R01 Net13 Eth2: Rx/Tx R04 192.168.253.2 Net12 Rx/Tx 192.168.14.1 100/100 Rx/Tx 10/10 45/45 Eth0: Net12 192.168.253.132 Rx/Tx 45/45 Eth1: R02 192.168.0.1 Net12 Host10-n13 Rx/Tx Eth0: 100/100 192.168.13.10 192.168.13.10 Eth0: 192.168.0.2 Eth1: 192.168.12.1 Host10-n12 192.168.12.10 Eth0: 192.168.12.10

Рис. 1. Общая схема имитационной модели

3. Моделирование низкоинтенсивных DoS-атак 3.1. Моделирование низкоинтенсивной атаки на HTTP сервис. Механизм таймаутов, с одной стороны, обеспечивает устойчивый алгоритм управления "за- бития" канала, с другой стороны, предоставляет возможность проведения низко- скоростной атаки, который использует уязвимость динамики изменения таймеров повторной передачи (по малой временной шкале). В частности, атакующий может вызвать циклическое «отваливание» по таймауту потока трафика путем отправки

104

Раздел II. Безопасность информационных систем и сетей

мощных коротких импульсов трафика, имеющих длительность, сопоставимую с RTT шкалой и периодичностью более медленной шкалы RTO. Пропускная способ- ность атакуемого снижается до нуля, в то же самое время средняя скорость атаки будет довольно низкой, что делает проблемным обнаружение подобной атаки. Рассмотрим простую модель зависимости времени вывода из строя атакован- ной системы (это и будет периодом атаки) от ее полосы пропускания. Для начала смоделируем на одиночном потоке трафика и одиночном потоке DoS-трафика. Допустим, атакующий отправил первый пик в момент времени t=0, тем самым выведя из строя удаленную систему. Обычный отправитель в это время получил таймаут и вынужден ждать окончания таймера повторной передачи пакета 1 сек и удваивать RTO. Если атакующий повторил атаку (снова вывел из строя сис- тему) в промежуток времени от 1 до 1+2RTT, то он вынудит ждать стек TCP еще 2 секунды. Создавая подобные выводы из строя в моменты времени 3, 5, 17, ..., ата- кующий тем самым фактически вынудит прекратить предоставление TCP-сервиса, в то же самое время атакующий будет отправлять пики DoS-трафика с довольно низ- кой средней скоростью. Приведенная ситуация эффективна для одиночного потока трафика, для не- скольких входящих и выходящих потоков требуется периодичное (вместо экспо- ненциального, как указано для одиночного) создание ситуаций вывода из строя канала передачи по шкале RTO. Более того, в случае одинакового параметра minRTO (как рекомендует RFC 2988) у всех потоков, все потоки будут простаи- вать в таймауте более длительное время (в случае создания периодичных сбоев в канале). Для атаки используются импульсы длительностью l и скоростью R с опреде- ленным периодом T. Как показано ниже, атака будет удачной при следующих ус- ловиях: скорость передачи R достаточна для получения таймаута в канале (т.е. сумма скоростей обычного и DoS-трафика должна превышать суммарную пропу- скную способность канала), длительность l по шкале RTT достаточна для получе- ния таймаута на канале (и довольно мала, чтобы избежать обнаружения) и период T по шкале RTO выбран таким образом, что поток трафика, пытающегося после таймаута пройти в канал, получил очередной таймаут. Для проведения будут использоваться отдельные узлы нашего стенда. В роли сервера жертвы с запущенным HTTP сервисом Apache2 используется host10-n10 с IP адресом 192.168.10.10/24. Атака проводиться с узлов других сетей. Атакующие машины host10-n12 и host10-n13. SlowLoris скрипт, написанный на языке Perl, реа- лизующий низкоинтенсивную атаку на веб-сервис. Запуск скрипта осуществляется командой: #perl slowdos.pl -dns 192.168.10.10 -port 80 -timeout 100 -num 10000 –tcpto 5 Хост Main выступал в роли легитимного клиента и контрольного хоста для проверки доступности сервиса. Для проверки доступности атакуемой систему, используется утилита siege, которая позволяет получать информацию о доступно- сти веб-сервера. Запуск siege осуществляется командой: #siege -с 10 –t 10M http://192.168.10.10/index.html Параметр –с означает эмуляцию 10 одновременных клиентов. Параметр –t 10M означает запуск на 10 минут, по истечении которых производиться подсчет статистики. В ходе эксперимента скрипт генерации подключений был запущен на ата- кующих хостах на 10 минут. С контрольной машины проводились попытки под- ключения к веб-службе с помощью автоматизированного средства siege. На рис. 2

105 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

видно зависимость доступности веб-сервиса от периодичности атаки. В идеальной модели без погрешностей на задержки в сети и производительность атакующих машин, а так же на потери в сети интернет, можно с уверенностью сказать, что атака проведена успешно без серьезных затрат на пропускную способность канала связи атакующих машин.

Рис. 2. График сравнения доступности атакуемой системы и потерь во время атаки

3.2. Моделирование низкоинтенсивной атаки на BGP. Для проведения экспериментов требуется выбрать сегмент сети, который будет хорошо демонст- рировать поведение систем во время атаки. После ознакомления с параметрами всех узлов был выбран сегмент, показанный на рис. 3.

Eth0: Eth0: 192.168.0.3 192.168.10.10 Eth1: 129.168.10.1 Eth2: 192.168.14.2 Net10 Host10-n10 Rx/Tx 192.168.10.10 100/100

Net14 Rx/Tx 1.5/1.5 R03 Net14 Rx/Tx Eth0: 1.5/1.5 192.168.12.2 Eth1: 192.168.13.1 Eth2: R04 Net13 Net12 Rx/Tx 192.168.14.1 Rx/Tx 10/10 45/45

Net12 Host10-n13 Rx/Tx Eth0: 100/100 192.168.13.10 192.168.13.10

Host10-n12 192.168.12.10 Eth0: 192.168.12.10 Рис. 3. Сегмент сети для моделирования атаки на BGP

106

Раздел II. Безопасность информационных систем и сетей

Проверка пропускной способности канала проводилась с помощью утилиты iperf. Запуск производился на маршрутизаторе R04 и виртуальной машине Host10- n10 и Host10-n12. Моделирование проводилось по двум сценариям: 1. Атака не посредственно на сервис Quagga, обслуживающий протокол BGP. 2. Проведение атаки на систему находящуюся за BGP-маршрутизатором, чтобы повлиять на общую пропускную способность канала связи маршру- тизатора. Атака сервиса Quagga. Для начала требуется попробовать инициировать со- единение на порт 179 для установления соединения. Для этой задачи используется модуль scapy для python. Произведем отправку пакетов с TCP флагом SYN на ата- куемый маршрутизатор, IP-адрес которого 192.168.14.1, с виртуальной машины 192.168.10.10. import time i = 1 while i<10000:

SYN=IP(dst="192.168.14.1", src="192.168.10.10")/TCP(sport=179, dport=179, flags="S", seq=40+i) SYNACK=sr1(SYN) ACK= IP(dst="192.168.14.1", src="192.168.10.10")/TCP(sport=SYNACK.dport, dport=179, flags="A", seq=SYNACK.ack, ack=SYNACK.seq + i) time.sleep( 5 ) send(ACK) i += 1

Листинг 1 – Цикл соединения Данный цикл отправляет пакет с флагом SYN и ждет ответа SYN-ACK, далее от- вечает ACK пакетом с таймаутом в 5 сек (средний таймаут для состояния SYN-RECV). Сразу после запуска в состояниях сетевых подключений видно как иниции- руется подключение и проходит все стадии, кроме стадии ESTABLISHED. Это происходит ввиду того, что сервис Quagga инициирует отправку пакета с флагом RST. Это логичная реакция сервиса на нелегитимное подключение. Стоит заме- тить, что при варьировании значения time.sleep() в диапазоне от 1 до 300 секунд, удаленная система завершала соединение на состоянии SYN-RECV. В итоге ни каких проблем с доступностью атакуемой системы выявлено не было (рис. 4). В ходе анализа результатов эксперимента были сделаны выводы, что для проведения атак такого типа требуется написание полноценного программного обеспечения для эмуляции работы по протоколу BGP. Так же следует заметить, что для того, что бы устанавливалось полноценное соединение и началась переда- ча данных, на основе которых было бы возможно провести атаку низкой интен- сивности, сервер должен быть "плохо" сконфигурирован. При "плохой" конфигу-

107 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

рации любая автономная система сможет подключиться и начать обмен данными, в нашем случае таблицами маршрутизации. Как показала практика, сервисы такого рода имеют стандартные параметры такие, что запрещено любое внешнее взаимо- действие. В спецификации протокола BGP существует понятие «соседей», что подразумевает с каким маршрутизатором требуется осуществлять обмен таблица- ми маршрутизации. Для разграничения доступа используются ACL списки, в ко- торых явным образом необходимо указывать права доступа. Основными правами являются:  разрешение на получение маршрутов от соседа;  разрешение на скачивание маршрутов соседу.

Рис. 4. Пропускная способность канала связи во время атаки

Таким образом, подобная атака может возникнуть только в случае халатности специалиста ответственного за данное программное обеспечение. Низкоинтенсивная DoS-атака с маршрутизатором посередине. В экспе- рименте проводится атака на виртуальную машину, находящуюся за атакуемым маршрутизатором. Цель заключается в том, что бы маршрутизатор начал снижать пропускную способность канала при обработке проходящего трафика генерируе- мого при атаки низкой интенсивности. Атакуемой машиной будет Host10-n10 c IP адресом 192.168.13.10. Маршру- тизатор ответственный за сегмент сети где находится атакуемая машина – это R04. На виртуальной машине Host10-n10. Запуск скрипта осуществляется командой: #perl slowdos.pl -dns 192.168.10.10 -port 80 -timeout 100 -num 10000 –tcpto 5 Для наблюдения за состоянием пропускной способности канала связи на маршрутизаторе была запущена утилита iperf. По истечении 5 минут видим результаты на рис. 5. Пропускная способность канал маршрутизатора ни как не изменилась. Паде- ние скорости на графике обусловлено тем, что в параметрах интерфейсов выстав- лены параметры потерь пакетов, для приближения к реальным условиям. В ходе эксперимента было выявлено, что при малых размерах ботнета, про- ходящий трафик, генерируемый при атаке низкой интенсивности не влияет на пропускную способность канала связи граничного маршрутизатора.

108

Раздел II. Безопасность информационных систем и сетей

Рис. 5. Пропускная способность канала связи маршрутизатора во время атаки

4. Анализ экспериментальных данных. В результате проведенных экспе- риментов можно сделать следующие выводы. Во-первых, практически все прове- денные атаки на системы, сконфигурированные «по умолчанию», прошли успеш- но. Причиной этому является то, что в таких случаях в системах, как правило, не сконфигурированы параметры для противодействия самым распространенным атакам. Исключением успешной атаки на сервис с конфигурацией по умолчанию является quagga. После того, как в результате повторяющихся атак были выведены из строя критичные узлы магистральных каналов связи, злоумышленникам удава- лось провести атаки типа spoofing по причине небезопасной конфигурации мар- шрутизаторов. Проведение низкоинтенсивной атаки на http-сервер сильно повлияло на об- щую пропускную способность. После начала атаки наблюдалось снижение пропу- скной способности канала связи (рис. 6), что приводило к снижению качества об- служивания клиентов http-сервером. Для сравнения на рис. 7 отображается график пропускной способности во время покоя.

Рис. 6. График пропускной способности канала связи во время атаки

109 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Рис. 7. График пропускной способности канала связи в состоянии покоя

На отметке времени начиная с 20.0–22.0 начинается «штатное» снижение пропускной способности, связанное с тем, что механизм контроля TCP Reno вы- бирает оптимальную скорость для передачи данных большого объема, при кото- рой потери будут минимальны. Выводы. Самыми важными экспериментами были атаки на BGP протокол. Так, в статье [7] описывалась модель проведения Low-Rate DoS-атаки на протокол BGP для нарушения маршрутизации в глобальных сетях, вследствие которой, мо- жет возникнуть лавинный эффект и резкое увеличение нагрузки на маршрутизато- ры ответственные за один и тот же сегмент сети может привести к выходу из строя большого сегмента глобальной сети Интернет. После проведения экспериментов стало ясно, что для успешной атаки такого рода требуется соблюдение большого количества условий, таких как ошибки кон- фигурирования, большое количество вычислительных ресурсов у атакующих и хорошо скоординированный сценарий атаки. Было установлено, что реализация данного сценария возможна только в сочетании с атакой «человек посередине».

БИБЛИОГРАФИЧЕСКИЙ СПИСОК 1. Решение Cisco Systems «Clean Pipes» по защите от распределенных DOS-атак для опера- торов связи и их клиентов [Электронный ресурс]. – Режим доступа: http://www.cisco.com/ web/RU/downloads/CleanPipes_rus.pdf, свободный (дата обраще- ния: 01.08.2013). 2. Абрамов Е.С., Сидоров И.Д. Метод обнаружения распределенных информационных воздействий на основе гибридной нейронной сети // Известия ЮФУ. Технические нау- ки. – 2009. – № 11 (100). – С. 154-164. 3. Лобанов В.Е., Оныкий Б.Н., Станкевичус А.А. Архитектура системы защиты Грид от атак типа «отказ в обслуживании» и «распределенный отказ в обслуживании» // Безо- пасность информационных технологий. – 2010. – № 3. – С. 136-139. 4. Обзор DDoS-атак во втором квартале 2011 года. – [Электронный ресурс]. – Режим дос- тупа: http://www.securelist.com/ru/analysis/208050712/ Obzor_DDoS_atak_vo_vtorom_ kvartale_ 2011_goda (дата обращения: 01.08.2013). 5. Chee W.O. Brennan T. OWASP AppSec DC 2010. HTTP POST DDoS. – [Электронный ресурс]. – Режим доступа: https://www.owasp.org/images/4/43/ Layer_7_DDOS.pdf (дата обращения: 01.08.2013).

110

Раздел II. Безопасность информационных систем и сетей

6. Abramov E.S., Andreev A.V., Mordvin D.V., Makarevich O.B. Corporate networks security evaluation based on attack graphs // Proceedings of the 4th international conference on Securi- ty of information and networks (SIN '11)-ACM, New York, NY, USA, 2011. – P. 29-36. 7. Aleksandar Kuzmanovic, Edward W. Knightly. Low-rate TCP-targeted denial of service attacks and counter strategies // IEEE/ACM Trans. Netw. – 2006. – № 14 (4). – С. 683-696. 8. Paxson V., Allman M., Chu H.K., and Sargent M. Computing TCP's Retransmission Timer, RFC 6298, Proposed Standard, June 2011. Статью рекомендовал к опубликованию д.т.н., профессор Н.И. Витиска. Тарасов Ярослав Викторович – ЗАО «Инфосистемы Джет»; e-mail: [email protected]; 127015, Москва, ул. Большая Новодмитровская, 14-1; тел.: +74954117601; директор по развитию. Макаревич Олег Борисович – Федеральное государственное автономное образовательное учреждение высшего профессионального образования «Южный федеральный универси- тет»; e-mail: [email protected]; 347928, г. Таганрог, ул. Чехова, 2; тел.: 88634371905; кафедра безопасности информационных технологий; зав. кафедрой. Tarasov Yaroslav Viktorovich – Jet Infosystems; e-mail: [email protected]; 14-1, Large Novodmitrovskaya street, Moscow, 127015, Russia; phone: +74954117601; director of development. Makarevich Oleg Borisovich – Federal State-Owned Autonomy Educational Establishment of Higher Vocational Education “Southern Federal University”; e-mail: [email protected]; 2, Chekhova street, Taganrog, 347928, Russia; phone: +78634371905; the department of security in data processing technologies; head the department.

УДК 004.056.5

В.Г. Миронова, А.А. Шелупанов АНАЛИЗ РЕЖИМОВ РАЗГРАНИЧЕНИЯ И РАСПРОСТРАНЕНИЯ ПРАВ ДОСТУПОВ НА ОСНОВЕ ДИСКРЕЦИОННОЙ МОДЕЛИ РАЗГРАНИЧЕНИЯ ПРАВ ДОСТУПОВ TAKE-GRANT

В функционирующих информационных системах обработки конфиденциальной информации используются два режима обработки данных – однопользовательский и многопользовательский. При многопользовательском режиме обработки данных целе- сообразно использование разграничения прав доступа пользователей к информации, поскольку это увеличивает уровень безопасности информации. Обеспечение безопас- ности информации, обрабатываемой как в электронном, так и бумажном виде начи- нается с режима разграничения прав доступов пользователей. Но не стоит забывать о том, что между пользователей и злоумышленником существует возможность пере- дачи или распространения прав доступа к конфиденциальной информации. Существу- ет несколько политик разграничения прав доступа к информации – дискреционная и мандатная. Анализ возможностей распространения прав доступов зависит от вы- бранной политики безопасности и позволяет выявлять каналы утечки конфиденциаль- ной информации и способы ее распространения. Данные о каналах утечки информации и способах ее распространения позволяют проектировать и создавать надежную систему защиты информации. Информационная безопасность; политика безопасности; модель; разграничение прав доступа.

111 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

V.G. Mironova, A.A. Shelupanov ANALYSIS AND DISSEMINATION SUPPORT DIFFERENT ACCESS RIGHTS BASED MODEL DISCRETIONARY ACCESS RIGHTS TAKE-GRANT

In the functioning of information systems for handling confidential information are two modes of data processing – a single-user and multi-user. With the multiplayer mode data using appropriate access rights to information for users, as it increases the level of information security. Ensuring security of information processed in both electronic and paper form begins with a mode of access rights of users. But do not forget that between the user and the attacker can also transfer or distribution of access rights to sensitive information. There are several policy distinction between the rights of access to information – discretionary and credentials. Analysis of the possibili- ties for extending the right of access depends on the security policy, and to identify channels of leakage of confidential information and the means of its dissemination. Channel data leaks and how to spread it possible to design and build a reliable system of information protection. Information security; security policy; the model of access rights. Развитие современного информационного общества немыслимо без приме- нения информационных технологий. В настоящее время компьютерные системы и телекоммуникации определяют надежность систем обороны и безопасности стра- ны, реализуют современные информационные технологии, обеспечивая обработку и хранение информации, автоматизируют технологические процессы. Массовое использование компьютерных систем, которое позволило решить проблему авто- матизации процессов производства, обработки и хранения информации, сделало уязвимым эти процессы, в результате чего появилась новая проблема – проблема информационной безопасности [1]. Обеспечение информационной безопасности (ИБ) достигается путем внедре- ния систем защиты информации (СЗИ), которые включают в себя: системы раз- граничения прав доступа, системы антивирусной защиты, системы безопасного межсетевого взаимодействия и др. Существует два типа политик разграничения прав доступа: мандатная и дис- креционная политики безопасности. Целью мандатной политики безопасности является предотвращение утечки информации от объектов с высоким уровнем доступа к объектам с низким уровнем доступа. Основу мандатной политики безопасности составляет мандатное управление доступом, которое подразумевает, что:  все субъекты и объекты системы должны быть однозначно идентифици- рованы;  задан линейно упорядоченный набор меток секретности;  каждому объекту системы присвоена метка секретности, определяющая ценность содержащейся в нем информации;  каждому субъекту системы присвоена метка секретности, определяющая уровень доверия к нему в информационной системе (ИС) [2]. В настоящее время широко используется дискреционная политика безопас- ности, к достоинствам которой можно отнести относительно простую реализацию механизмов защиты информации в информационных системах (ИС). Основой дискреционной политики безопасности является дискреционное управление доступом, которое определяется двумя свойствами:  все субъекты и объекты должны быть идентифицированы;  права доступа субъектов к объекту ИС определяются на основании неко- торого внешнего по отношению к системе правила.

112

Раздел II. Безопасность информационных систем и сетей

В случае использования дискреционной политики безопасности возникает необходимость определения правил распространения прав доступа и анализ их влияния на безопасность ИС. Модель распространения прав доступа Take-Grant используется для анализа систем дискреционного разграничения доступа, в первую очередь для анализа пу- тей распространения прав доступа в таких системах. Обычно данную модель опи- сывают в терминах графов доступа. Формально описание модели Take-Grant выглядит следующим образом: 1. Множество объектов – О, где оj є О, О ={о1, о2,…,оj}, jєN; 2. Множество субъектов – S, где snє S, S ={s1, s2,…,sn}, nєN; 3. Множество активных субъектов – S  O;

4. Множество прав доступа R, где riє R, R ={r1, r2,…,rj} {t, g}, где t (take) – право брать права доступа, g(grant) – права давать права доступа; 5. Конечный помеченный ориентированный граф без петель, представляю- щий текущие доступы в системе G = (S,O,E), где элементы множества Е OOR   представляют дуги графа, помеченные непустыми подмножествами из множества прав доступа R [3, 4]. Модель нарушителя ИБ, описанная в [5] формирует в себе комплекс знаний об имеющихся нарушителей ИБ, поэтому большое значение приобретает оценка путей распространения и разграничения прав доступа к КИ. Провести анализ воз- можных пути реализации действий злоумышленника для систем с дискреционным разграничением прав доступа, можно используя модели, построенные на основе модели Take-Grant. Отличительной особенностью организаций, в которых производится обра- ботка и хранение КИ, является наличие рубежей защиты. Типовыми зонами организации, указанными на рис. 1, являются:  территория, занимаемая организацией и ограничиваемая забором или ус- ловной внешней границей;  здание на территории;  коридор или его часть;  помещение (служебное, кабинет, комната, зал, техническое помещение, склад и др.);  шкаф, сейф, хранилище. Соответственно, рубежи защиты:  забор;  стены, двери, окна здания;  двери, окна (если они имеются), стены, пол и потолок (перекрытия) кори- дора;  двери, окна, стены, пол и потолок (перекрытия) помещения;  стены и двери шкафов, сейфов, хранилищ. Проведем анализ реализации злоумышленных действий – проникновение на территорию здания. Проникновение на территорию здания сопровождается нару- шением первого рубежа защиты, в связи с этим построим модель типа «Первый рубеж защиты в организации».

113 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Забор

Стены, двери, окна здания

Двери, окна (если они имеются), стены, пол и потолок (перекрытия) коридора Двери, окна, стены, пол и потолок (перекрытия) помещения Стены и двери шкафов, сейфов, хранилищ

Рубеж защиты 4 Рубеж защиты 5

Рубеж защиты 3

Рубеж защиты 2

Рубеж защиты 1

Рис. 1. Рубежи защиты организации

Модель «Первый рубеж защиты в организации» состоит из следующих ком- понент: 1. Субъекты доступа в здание организации sn, snϵ S, S ={s1, s2,…,sn}, nϵN [6]. Под субъектами будем понимать:  персонал организации, являющийся как штатными сотрудниками под- разделений организации;  персонал, обеспечивающий физическую защиту помещений органи- зации;  персонал сторонних организаций, осуществляющий техническое об- служивание и ремонт СВТ, коммуникационного оборудования и линий связи;  бюро пропусков. 2. Объект доступа ор1, ор1 ϵ О, О ={ор1, ор2, ор3, ор4, ор5}. Рубеж защиты 1. 3. Право доступа каждого субъекта из множества S в здание организации

riϵ R, R ={r1, r2,…,rj} {t, g} . Право доступа в здание организации.

4. Монитор обращения (МО) siϵSM, SM ={sмо, sмбо, sмпс, sмбс}, i=1,4. Система контроля и управления доступом (СКУД) в здание организации (про- граммная реализация СКУД, турникеты, двери и т.д.) и(или) часовым (контролером), рис. 2. 5. Поток информации между субъектом и объектом Stream (S,oзз). Доступом субъектов S, snϵ S, S ={s1, s2,…,sn}, nϵN к объекту ор1 будем называть по- рождение потока информации между объектом oр1 и S. 6. Монитор безопасности объектов (МБО) siϵSM, SM={sмо, sмбо, sмпс, sмбс}, i=1,4. СКУД в здание организации и(или) часовой (контролер), который отвечает за предоставление доступа субъектам в здание.

114

Раздел II. Безопасность информационных систем и сетей

7. Монитором порождения субъектов (МПС) siϵSM, SM ={sмо, sмбо, sмпс, sмбс}, i=1,4. Бюро пропусков. 8. Монитор безопасности субъектов (МБС) siϵ SM, SM ={sмо, sмбо, sмпс, sмбс}, i=1,4. Руководители подразделений, которые оформляют заявки на оформление пропусков для сотрудников, командировочных и т.д., и от- правляют заявки в бюро пропусков. Согласно аксиомам в [2], активными субъектами в модели типа «Первый ру- беж защиты в организации», выполняющими контроль операций субъектов над объектом oр1, будет являться СКУД в здание, которая реализована посредствам специальной программы, турникетов, дверей и т.д. и(или) часовой (контролер). При предъявлении пропуска субъектом из множества S формируется запрос на доступ от субъекта из множества S к объекту ор1. Затем МО анализирует базу пра- вил (базу данных субъектов, имеющих право доступа в здание организации), соот- ветствующую установленной в системе политике безопасности и либо разрешает проход, либо запрещает. Пропуск может быть представлен в виде пластиковой карты, бумажного но- сителя, биометрических данных и т.д. МО удовлетворяет следующим свойствам: 1. Ни один запрос на доступ субъекта из множества S к объекту ор1 не должен выполняться в обход МБО. 2. Работа МБО должна быть защищена от постороннего вмешательства. 3. Представление МБО должно быть достаточно простым для возможности верификации корректности его работы. На рис. 2 представлена схема реализации МО в модели типа «Первый рубеж защиты в организации».

Рис. 2. МО в модели типа «Первый рубеж защиты в организации»

В случае использования дискреционной политики безопасности основной функцией МБО является предоставление доступа к объекту только для санкциони- рованных относительно данного объекта субъектов. Перед МБО стоит задача – проверить приведут ли его действия к нарушению безопасности объекта ор1 или нет. Модель Take-Grant предоставляет способ проверки безопасности ИС. Согласно [7] субъект ni, niϵN, N= (n1, n2,…,ni), n1 – нарушитель ИБ в модели типа «Первый рубеж защиты в организации» может получить право доступа к объекту ор1 (пропуск в здание), если существует субъект s1, который обладает пра- вом доступа в oр1 (пропуском в здание), такой, что субъекты n1 и s1 связаны произ- вольно ориентированной дугой, содержащей хотя бы одно из прав t ϵR или g ϵ R. На рис. 4 изображен граф способа предоставления прав доступа в здание для модели типа «Первый рубеж защиты в организации» в правилах модели Take- Grant, где S – множество субъектов, n1 – субъект-нарушитель, ор1 – объект доступа

115 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

(здание), R – множество прав доступа к объекту ор1 (возможность пройти на терри- торию здания, где располагается организация), и n1, S, ор1 – различные вершины графа. Использовано правило классической модели Take-Grant «Давать» – grant (r1, s1, n1, oр1), «Брать» – take (r1, n1, s1, oр1). Таким образом, нарушитель n1 получил право доступа на охраняемую территорию.

МБО Объект доступа (программа s1 (о ) СКУД) р1

s2 Политика s3 безопасности ...

sn МБС (бюро пропусков)

Рис. 3. Схема модели «Первый рубеж защиты в организации» grant s1 n1 take

r1 r1 s2 r2 O r3 р1 s3 Объект ... rn доступа

Рис. 4. Граф предоставления прав доступа в здание для модели типа «Первый рубеж защиты в организации»

Модель типа «Первый рубеж защиты в организации» позволит провести ана- лиз реализации действий злоумышленника – проникновение на территорию зда- ния, в ходе которого нарушается рубеж защиты 1. Безусловно, данный подход к проведению анализа действий злоумышленни- ка позволит выявить возможные пути проведения атак, целью которых является нарушение безопасности информации, определить перечень нарушителей.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК 1. Миронова В.Г., Шелупанов А.А., Югов Т.Н. Реализация модели Take-Grant как представ- ление систем разграничения прав доступа в помещениях // Доклады Том. гос. ун-та сис- тем управления и радиоэлектроники. Ч. 3. – 2011. – № 2 (24). – С. 206-211. 2. Девянин П.Н. Модели безопасности компьютерных систем: учеб. пособие для студ. высш. учеб. заведений. – М.: Изд. центр «Академия», 2005. – 144 с. 3. Грушо А.А., Тимонина Е.Е. Теоретические основы защиты информации. – М.: Изд-во агентства «Яхтсмен», 1996. – 187 с.

116

Раздел II. Безопасность информационных систем и сетей

4. Миронова В.Г., Шелупанов А.А. Предпроектное проектирование информационных сис- тем персональных данных как этап аудита информационной безопасности // Докл. Том. гос. ун-та систем управления и радиоэлектроники. Ч. 1. – 2010. – № 2 (22).– С. 257-259. 5. Миронова В.Г., Шелупанов А.А. Модель нарушителя безопасности конфиденциальной информации // Информатика и системы управления. – 2012. – № 1 (31). – С. 28-35. 6. Миронова В.Г., Шелупанов А.А. Сети Петри как инструмент анализа системы защиты конфиденциальной информации // Известия ЮФУ. Технические науки. – 2011. – № 12 (125). – С. 64-70. 7. Миронова В.Г., Шелупанов А.А. Предпроектное проектирование информационных систем персональных данных как этап аудита информационной безопасности // Доклады Том. гос. ун-та систем управления и радиоэлектроники. Ч. 1. – 2010. – № 2 (22). – С. 257-259. 8. Шелупанов А.А., Миронова В.Г. и др. Автоматизированная система предпроектного обсле- дования информационной системы персональных данных «АИСТ-П» // Доклады Том. гос. ун-та систем управления и радиоэлектроники. Ч. 1. – 2010. – № 1 (21). – С. 14-22. Статью рекомендовал к опубликованию д.т.н., профессор Л.К. Бабенко. Миронова Валентина Григорьевна – Федеральное государственное бюджетное образова- тельное учреждение высшего профессионального образования «Томский государственный университет систем управления и радиоэлектроники»; e-mail: [email protected]; 634050, г. Томск, пр. Ленина, 40; тел.: 89234151608; руководитель аттестационного цента института системной интеграции и безопасности ТУСУРа. Шелупанов Александр Александрович – e-mail: [email protected]; тел.: +73822514302; д.т.н.; профессор; проректор по научной работе ТУСУРа. Mironova Valentina Grigor’evna – Tomsk State University of Control Systems and Radio Elec- tronics; e-mail: [email protected]; 40, Lenin avenue, Tomsk, 634050, Russia; phone: +79234151608; the head of the appraisal institute cents systems integration and security TUSUR. Shelupanov Alexander Alexandrovich – e-mail: [email protected]; phone: +73822514302; dr. of eng. sc.; professor; vice-rector TUSUR.

УДК 004.735

И.Н. Пащенко, В.И. Васильев РАЗРАБОТКА ТРЕБОВАНИЙ К СИСТЕМЕ ЗАЩИТЫ ИНФОРМАЦИИ В ИНТЕЛЛЕКТУАЛЬНОЙ СЕТИ SMART GRID НА ОСНОВЕ СТАНДАРТОВ ISO/IEC 27001 И 27005

Приоритетным направлением развития современной энергетики Российской Феде- рации является внедрение интеллектуальных энергосетей нового поколения Smart Grid. Однако как в отечественной, так и в зарубежной литературе не уделяется достаточного внимания вопросам защиты информации в подобных интеллектуальных сетях. Целью дан- ной работы является разработка методики создания системы защиты информации в Smart Grid сетях с учетом того, что данные сети пока еще не внедрены, а их внедрение займет определенный промежуток времени. Приводится список основных угроз и уязвимо- стей информационной безопасности, которым подвержены Smart Grid сети. Предлагает- ся список руководящих требований безопасности, которые необходимо выполнить при проектировании данных интеллектуальных сетей. Формируется список контрмер, кото- рые рекомендуются для применения на Smart Grid. Рассчитывается эффективность при- менения контрмер путем оценки рисков информационной безопасности до и после их вне- дрения на примере конкретной Smart Grid сети. Интеллектуальная сеть угрозы; уязвимости; информационные риски.

117 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

I.N. Pashchenko, V.I. Vasilyev DESIGN OF REQUIREMENTS TO SMART GRID SECURITY SYSTEM ON THE BASIS OF ISO/IEC 27001 AND 27005 STANDARDS

The important stage in development of modern energy technology is implementing intelligent energy nets of new generation Smart Grid. The purpose of this work is to design the technique of creating the information security system in intelligent nets (Smart Grid) with account of that the given nets are not yet implemented, and their implementation needs some time interval. The list of main threats and vulnerabilities in Smart Grid is presented. The list of guiding security requirements necessary under designing these nets is proposed. The list of security controls recommended for using in Smart Grid is generated. The efficiency of applying countermeasures by the way of information security risks evaluation before and after their implementation on the specific Smart Grid is calculated. Intelligent net; Smart Grid; threats; vulnerabilities; information risks. Согласно “Энергетической стратегии России на период до 2030 г. ”[1], в ка- честве первого пункта стратегии развития энергетики указывается создание в Рос- сии интеллектуальных сетей Smart Grid. Под интеллектуальной сетью (Smart Grid) понимается совокупность подклю- чённых к генерирующим источникам и электроустановкам потребителей, про- граммно-аппаратных средств, а также информационно-аналитических и управляю- щих систем, обеспечивающих надёжную и качественную передачу электрической энергии от источника к приёмнику в нужное время и в необходимом количестве. Первые применения этого термина на Западе были связаны с названиями специальных контроллеров, предназначенных для управления режимом работы и синхронизации автономных ветрогенераторов, отличающихся нестабильным на- пряжением и частотой, с электрической сетью [2, 3]. Потом этот термин стал при- меняться для обозначения микропроцессорных счетчиков электроэнергии, способ- ных самостоятельно накапливать, обрабатывать, оценивать информацию и переда- вать ее по специальным каналам связи и даже через Интернет. В последние годы использование этого термина расширилось на системы сбора и обработки инфор- мации, мониторинга оборудования в энергетике [4]. С точки зрения Министерства энергетики США, интеллектуальным сетям (Smart Grid) присущи следующие атрибуты [5]:  способность к самовосстановлению после сбоев в подаче электроэнергии;  возможность активного участия потребителей;  устойчивость к физическому и кибернетическому вмешательству злоумыш- ленников;  обеспечение требуемого качества передаваемой электроэнергии;  обеспечение синхронной работы источников генерации и узлов хранения электроэнергии;  повышение эффективности работы энергосистемы в целом. В России идея Smart Grid в настоящее время выступает в качестве концепции интеллектуальной активно-адаптивной сети, которую можно описать следующими признаками [6]:  насыщенность сети активными элементами, позволяющими изменять то- пологические параметры сети;  большое количество датчиков, измеряющих текущие режимные параметры для оценки состояния сети в различных режимах работы энергосистемы;  наличие системы сбора и обработки данных (программно-аппаратные комплексы), а также средств управления активными элементами сети и электроустановками потребителей;

118

Раздел II. Безопасность информационных систем и сетей

 наличие исполнительных механизмов, позволяющих в режиме реального времени изменять топологические параметры сети, а также взаимодейст- вовать со смежными энергетическими объектами;  использование средств автоматической оценки текущей ситуации и про- гнозирования работы сети;  высокая производительность системы управления сетью в целом и систе- мы информационного обмена. В настоящее время в России много внимания уделяется различным пилотным проектам, направленным на создание сетей Smart Grid [7]. Проводятся конференции, на которых обсуждаются проблемы создания и внедрения подобных сетей нового по- коления. Примером таких конференций является SmartUtilities Russia 2013. Одной из актуальных проблем в области создания интеллектуальных сетей явля- ется проблема обеспечения их информационной безопасности. В данной работе пред- лагается проект разработки системы защиты информации для сети Smart Grid. В настоящее время в России не существует окончательно сформированной работающей интеллектуальной сети, удовлетворяющей всем требованиям, предъ- являемым к Smart Grid. Большинство сетей в настоящее время находятся на стадии проектирования. Поэтому разрабатываемые ниже требования к системе защиты информации направлены в первую очередь на построение перспективных Smart Grid сетей, которые предполагаются к использованию в ближайшем будущем. Внедрение подобных интеллектуальных сетей требует определенного времени. В течение этого времени появятся новые средства защиты информации, которые необходимо будет установить на Smart Grid. С целью разработки системы защиты Smart Grid было принято решение про- извести оценку рисков информационной безопасности с учетом следующих ос- новных аспектов:  Менеджмент – защита конфиденциальной информации с точки зрения управления персоналом, – рассматриваются угрозы, связанные с предна- меренными либо случайными действиями сотрудников Smart Grid.  Приложения и базы данных – защита от угроз, возникающих на уровне приложений и баз данных.  Сеть – защита от угроз, которые могут возникнуть в связи с использова- нием LAN и WAN сетей, в том числе угроз из сети Интернет;  Мобильные устройства – защита от угроз, связанных с использованием GSM-сетей и мобильных телефонов. Для анализа угроз и разработки мер противодействия выявленным угрозам были выбраны два базовых метода: SREP и CORAS, разработанных в соответст- вии с международным стандартом ISO/IEC 27001 [8]. SREP (Security Requirements Engineering Process) – метод, целью которого яв- ляется разработка требований к системе защиты информации [9]. Он состоит из девяти шагов: 1. Введение основных определений. 2. Выбор критических/уязвимых источников информации. 3. Постановка целей для системы защиты информации. 4. Определение угроз. 5. Определение рисков. 6. Разработка требований к системе защиты. 7. Упорядочивание требований по важности. 8. Проверка соответствия существующей системы разработанным требованиям. 9. Разработка контрмер.

119 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

CORAS – метод проведения анализа информационных рисков [10]. Он состо- ит из восьми шагов: 1. Подготовка к проведению анализа. 2. Выбор объектов защиты. 3. Описание объектов защиты с помощью диаграмм. 4. Постановка целей. 5. Идентификация рисков с помощью диаграмм Угроз. 6. Определение рисков по диаграммам Угроз. 7. Оценка риска с использованием диаграмм Рисков. 8. Разработка контрмер с использованием диаграмм Контрмер. Данные методы были выбраны как наиболее подходящие для достижения по- ставленных целей. С помощью CORAS осуществлен анализ эффективности систе- мы защиты с точки зрения приложений, баз данных и сети. С помощью SREP осуществлен анализ эффективности системы защиты с точки зрения менеджмента и мобильных устройств. Оценка возможного риска происходила в соответствии с методологией, предложенной в стандарте ISO/IEC 27005 [11]. В результате анализа были выделены три вида информационных ресурсов, подлежащих защите: 1. Персональные данные пользователей Smart Grid. 2. Техническая информация, поступающая от клиентов сети. 3. Информация о системных сбоях и ошибках, которые происходят при ра- боте сети. К требованиям, которые должна реализовывать система защиты, были отнесены:  предотвращение неавторизованного раскрытия защищаемой информации (конфиденциальность);  обеспечение постоянного доступа пользователей к защищаемой информа- ции (доступность);  предотвращение несанкционированного изменения защищаемой инфор- мации (целостность). В результате исследования были выделены основные угрозы безопасности Smart Grid, представленные в табл. 1. Таблица 1 Угрозы безопасности Smart Grid № Угрозы Менеджмент 1 Неавторизованное раскрытие/изменение/лишение доступа к персональным данным/техническим данным/данным об отказах в результате неверного распределения прав доступа к системам Smart Grid 2 Неавторизованное раскрытие/изменение/лишение доступа к персональным данным в результате сбоя/не произведения обновления систем, функционирующих в Smart Grid 3 Неавторизованное изменение/лишение доступа к техническим данным/ данным об отказах в результате сбоя/не произведения обновления систем, функционирующих в Smart Grid 4 Неавторизованное раскрытие персональных данных в результате небрежного отношения работников к своим обязанностям 5 Неавторизованное изменение/лишение доступа к персональным данным/техническим данным/данным об отказах в результате закупки либо установки ненужных систем безопасности 6 Неавторизованное раскрытие/изменение/лишение доступа к персональным данным/техническим данным/данным об отказах в результате беспечности либо некомпетентности администратора систем SCADA

120

Раздел II. Безопасность информационных систем и сетей

Окончание табл. 1 Приложения и базы данных 7 SQL-инъекции в систему информирования клиентов, SCADA систему, платежную систему 8 XSS атаки на систему информирования клиентов 9 Атаки на неавторизованную аутентификацию в системе информирования клиентов 10 Атаки на SSL 11 Backdoor'ы, трояны и др. вредоносные программы 12 Подбор пароля методом «грубой силы» 13 DDoS атака на систему информирования клиентов/SCADA систему Сеть 14 Перехват пакетов системы информирования клиентов 15 Сканирование портов 16 Подмена IP-адресов системы информирования клиентов/SCADA системы 17 Кража TCP-пакетов системы информирования клиентов 18 Атака типа отказ в обслуживании системы информирования клиентов/SCADA системы 19 TCP SYN-атака на систему информирования клиентов 20 Смурф-атака на систему информирования клиентов/SCADA систему Мобильные устройства 21 Неавторизованное раскрытие/изменение персональных данных/ технических данных/данных об отказах в результате извлечения информации из утерянного/украденного устройства 22 Неавторизованное раскрытие/изменение персональных данных/ технических данных/данных об отказах в результате использования списанного/неверно обновленного устройства 23 Неавторизованное раскрытие/изменение персональных данных/ технических данных/данных об отказах в результате сбоя/не произведения обновления мобильного устройства Для устранения указанных угроз были выделены требования по безопасности Smart Grid. Перечень основных требований к системе информационной безопасно- сти Smart Grid представлен в табл. 2. Таблица 2 Требования к безопасности № Требование Менеджмент 1 Должна быть задокументирована персональная ответственность за выполнение всех действий всеми пользователями Smart Grid 2 Должны быть четко указаны роли пользователей Smart Grid 3 Должны быть указаны алгоритмы автоматического присвоения ролей для новых пользователей Smart Grid 4 Должны быть указаны действия, разрешенные для каждой роли 5 Должно быть указано, что разрешается/запрещается делать по умолчанию для всех пользователей Smart Grid 6 Должны быть указаны процедуры при прекращении срока действия роли 7 Должно быть обеспечено эффективное инвестирование в системы безопасности Smart Grid 8 Процесс поиска и оценки угроз должен проводиться регулярно Приложения и базы данных 9 Вводимые данные, используемые в SQL-запросах к системе информирования клиентов/SCADA/платежной системе, должны тщательно проверяться 10 Вводимые данные на сайте системы информирования клиентов должны тщательно проверяться

121 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Окончание табл. 2 11 В системе информирования клиентов должны использоваться протестированные методы аутентификации, основанные на собственном способе аутентификации клиентов 12 Все мандаты доступа к системе информирования клиентов должны храниться в хешированном виде 13 Должна использоваться эффективная система защиты Smart Grid от вредоносного ПО 14 Должна быть обеспечена доступность системы информирования клиентов и SCADA системы Сеть 15 Содержание передаваемых пакетов должно защищаться и верифицироваться 16 Должны быть разработаны мандатные управленческие функции для системы информирования клиентов/SCADA системы 17 Должно использоваться только проверенное и эффективное ПО 18 Должны применяться методы аутентификации при доступе к DNS-серверу 19 Должно использоваться защищенное TCP соединение Мобильные устройства 20 Должно быть обеспечено безопасное удаление важной информации 21 Должны быть разработаны действия, которые необходимо применять в случае списания устройства 22 Должна быть разработана система защиты информации от несанкционированного раскрытия и модификации важной информации 23 ПО должно своевременно обновляться Для того чтобы снизить вероятность реализации угроз злоумышленниками до приемлемого уровня, были предложены соответствующие контрмеры. Список ос- новных контрмер представлен в табл. 3. Таблица 3 Контрмеры № Контрмера Менеджмент 1 В соглашениях о неразглашении, контрактах о приеме на работу, контрактах с клиентами должны быть указаны пункты, в которых ясно указываются персональные обязанности по обеспечению безопасности. Каждый пользователь должен ознакомиться с предъявляемыми к нему требованиями и расписаться в соответствующем журнале о том, что он ознакомлен с ними 2 Все работники Smart Grid (менеджеры, администраторы SCADA, администраторы Smart Grid) должны проходить обязательные тренинги и регулярно оповещаться обо всех изменениях в политиках и процедурах безопасности, относящихся к их обязанностям 3 Политика доступа к системе Smart Grid должна быть разработана, задокументирована и пересмотрена, основываясь на требованиях, предъявляемых бизнесом и безопасностью 4 Должны быть разработаны механизмы регистрации и дерегистрации пользователей (клиентов, менеджеров, администраторов SCADA, администраторов Smart Grid) во всех точках входа в систему Smart Grid 5 Служба безопасности Smart Grid должна регулярно пересматривать права доступа пользователей Smart Grid через установленные промежутки времени 6 Права доступа всех работников должны удаляться после истечения их срока контракта либо изменяться при его обновлении 7 Должен быть разработан шаблон оценки угроз. Переоценка угроз должна осуществляться каждые 6 месяцев 8 В соответствии с экономическим анализом системы информационной безопасности должен быть составлен экономически обоснованный отчет, который впоследствии должен быть использован при выборе необходимых улучшений в системе информационной безопасности

122

Раздел II. Безопасность информационных систем и сетей

Окончание табл. 3 Приложения и базы данных 9 Использовать фильтрацию входных данных в системе информирования клиентов/SCADA системе/платежной системе 10 Использовать межсетевой экран веб-приложений для сайта системы информирования клиентов 11 Использовать криптографические токены для аутентификации работников 12 Использовать SSL с сертификатами 13 Использовать SSL везде, где доступ требует аутентификации пользователя 14 Использовать ПО, позволяющее проводить тестирование безопасности веб- приложений, такое как WebScarab 15 Ограничить число попыток ввода пароля пользователям при входе в систему информирования клиента/SCADA систему 16 Использовать ПО, позволяющее противостоять вирусам, вредоносному ПО, а также использовать межсетевые экраны 17 Использовать оборудование, позволяющее отражать атаки типа отказ в обслуживании, например DefensePro 18 Использовать параметризированные запросы при обращении к базам данных системы информирования клиентов/SCADA системы/платежной системы Сеть 19 Использовать шифрование при формировании и передаче пакетов 20 Использовать межсетевой экран для серверов системы информирования клиентов/SCADA системы 21 Использовать системы обнаружения вторжения (NIDS) для Smart Grid 22 Использовать прокси-сервер 23 Периодически сканировать сетевые порты, чтобы обнаружить незащищенные порты 24 Использовать обновленное ПО 25 Использовать систему авторизации для доступа к DNS-серверу 26 Использовать фильтрацию пакетов Мобильные устройства 27 Использовать политику информационной безопасности Google Apps Device Policy 28 Разработать корпоративную политику списания мобильных устройств 29 Использовать мобильные антивирусы 30 Проводить регулярное обновление мобильных устройств После формирования контрмер для конкретной сети были оценены риски информационной безопасности до и после введения контрмер. Данные оценки рисков представлены в табл. 4–7. Таблица 4 Изменение риска на уровне Менеджмента

123 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Таблица 5 Изменение риска на уровне Приложений и баз данных

Таблица 6 Изменение риска на уровне Сети

Таблица 7 Изменение риска на уровне Мобильных устройств

124

Раздел II. Безопасность информационных систем и сетей

Все риски были разделены на высокие, средние и низкие. Высокий уровень риска нарушения информационной безопасности означает, что данную угрозу не- обходимо устранять. Средний уровень риска говорит о том, что ситуация не явля- ется критической, однако нужно следить за развитием данных угроз. Низкий уро- вень риска является приемлемым для работы сети. В результате анализа защищенности сети с использованием данных контрмер было выявлено, что учитываемые риски осуществления рассматриваемых уязви- мостей становятся приемлемыми для работы сети. Таким образом, можно говорить о том, что проектируемая Smart Grid с использованием предложенных мер безо- пасности может считаться защищенной. Заключение. Smart Grid представляют собой новый перспективный класс энергосетей. В наши дни происходит преобразование существующих энергосетей в соответствии с теми требованиями, которые возникают при модернизации этих сетей в сети класса Smart Grid. В настоящее время не существует формализован- ной методологии разработки систем защиты информации для подобных интеллек- туальных сетей. В данной работе предложена методика анализа защищенности сетей Smart Grid, проведен анализ типовых угроз и уязвимостей, которым подвер- жена основная часть сети Utility, разработаны требования к системе информаци- онной безопасности Smart Grid, предложены мероприятия по противодействию выявленным угрозам.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК 1. Концепция энергетической стратегии России на период до 2030 года (проект) // “Энер- гетическая политика”. – М.: ГУ ИЭС, 2007. Прил. 116 с. 2. Janssen M.C. The Smart Grid Drivers // PAC World. – 2010. – P. 77. 3. Amin S.M., Wollenberg B.F. Toward a Smart Grid // IEEE P&E Magazine. – 2005. – № 3. – P. 34-41. 4. Гуревич В.И. Интеллектуальные сети: новые перспективы или новые проблемы? // Электротехнический рынок. – 2010. – № 6. URL: http://market.elec.ru/nomer/33/ intellektualnye-seti-novye-perspektivy/ (дата обращения 15.07.2013). 5. Smart Grid // ENERGY.GOV Office of Electricity Delivery & Energy Reliability. URL: http://www.oe.energy.gov/smartgrid.htm (дата обращения 15.07.2013). 6. Дорофеев В.В., Макаров А.А. Активно-адаптивная сеть – новое качество ЕЭС России // Энергоэксперт. – 2009. – № 4. – C. 28-34. 7. Massel L.V. Problems of the smart grid creation in Russia with a view to information and telecommunication technologies and proposed solutions // Proc. of the 15th International workshop “Computer science and information technologies” (CSIT’2013). – 2013. – P. 115-120. 8. ISO/IEC 27001:2013. Information technology. Security techniques. Information security management systems. Requirements. Berlin : ISO/IEC JTC 1/SC 27. – 2013. – 23 p. 9. Mellado D., Fernández-Medina E., Piattini M. Applying a Security Requirements Engineering Process // Proc. Security in Information Systems. – 2006. – P. 192-206. 10. Model-Driven Risk Analysis / Lund [and others]. Milan: Springer, 2011. – 460 p. 11. ISO/IEC 27005:2011. Information technology. Security techniques. Information security risk management. Berlin : ISO/IEC JTC 1/SC 27, 2011. – 68 p. Статью рекомендовал к опубликованию к.т.н., доцент А.А. Бакиров. Пащенко Иван Николаевич – Уфимский государственный авиационный технический универ- ситет; e-mail: [email protected]; 450000, г. Уфа, ул. К. Маркса, 70; тел.: +73472730672; кафедра вычислительной техники и защиты информации; аспирант. Васильев Владимир Иванович – e-mail: [email protected]; кафедра вычислительной техники и защиты информации; зав. кафедрой; д.т.н.; профессор.

125 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Pashchenko Ivan Nikolaevich – Ufa State Aviation Technical University; e-mail: [email protected]; 12, K. Marxa street, Ufa, 450000, Russia; phone: +73472730672; the department of computer science and information security; postgraduate student. Vasyliev Vladimir Ivanovich – e-mail: [email protected]; the department of computer science and information security; head the department; dr. of eng. sc.; professor.

УДК 004.056

И.Ю. Половко РАЗРАБОТКА ТРЕБОВАНИЙ К СОСТАВУ ХАРАКТЕРИСТИК ДЛЯ СРАВНЕНИЯ СОА*

Работа посвящена актуальной проблеме выбора средства защиты, для обеспечения надежной работы компьютерной сети. В качестве средства защиты рассматривается система обнаружения атак (СОА). Обоснована необходимость выработки требований к составу качественных характеристик СОА, позволяющих получить взвешенную оценку качества исследуемых систем. Показано, что характеристики структурно делятся на две группы – для оценки функциональных свойств системы и для оценки производительности. Обоснован выбор данных характеристик. При разработке характеристик оценки качества СОА исследова- лись, в первую очередь, те механизмы СОА, которые наиболее критичны для атак, а зна- чит, могут повлиять на эффективность обнаружения атак. Выявлены наиболее уязвимые аспекты в работе СОА при обнаружении атак. Для этого был рассмотрен подход, осно- ванный на исследовании слабых сторон протоколов, использование которых позволяет легально обойти механизмы СОА. Таким образом, показано, что СОА, чётко следующие RFC, оказываются уязвимыми. Разработанные характеристики позволяют оценить сте- пени соответствия реальных и заявленных производителем функциональных свойств СОА. Сетевая безопасность; СОА; характеристики качества; критерии оценки.

I.Yu. Polovko THE DEVELOPMENT OF REQUIREMENTS TO THE CHARACTERISTICS OF NIDS FOR COMPARISON

The scientific work is devoted to the actual problem of selecting protection to provide reliable operation of the network. As a means of protection consider the intrusion detection system (NIDS). The necessity of developing requirements to the structure of quality characteristics of NIDS, was justified. That allowing to obtain a balanced quality assessment of the systems. The characteristics structurally divided into two groups – to evaluate the functional properties of the system and for performance evaluation. The choice of, these characteristics was justified. Primarily was investigated mechanisms of NIDS, during the development of characteristics of the NIDS, that are most critical for the attack, thus may affect on efficiency of detection of attacks. Has been identified the most vulnerable aspects of NIDS at the detection of attacks. For this was considered an approach based on a study of the weaknesses of protocols, the using of which allows you to legally circumvent the mechanisms of NIDS. That is shown that the NIDS that are clearly following RFC, are vulnerable. The developed characteristics allows to estimate the compliance of the real and the manufacturer's functional properties of NIDS. Network security; NIDS; quality characteristics; evaluation criteria.

* Работа выполнена при поддержке гранта РФФИ № 12-07-00014-а.

126

Раздел II. Безопасность информационных систем и сетей

На сегодняшний день, на рынке информационных услуг представлено мно- жество различных средств защиты компьютерной сети, и данный перечень регу- лярно пополняется новыми продуктами. Какое средство защиты выбрать пользо- вателю, чтобы оно максимально точно отвечала установленным требованиям, ста- новится весьма не просто. Данная статья посвящена одному из ключевых компонентов защиты компью- терной сети, а именно Системе обнаружения атак, и описывает механизм выбора необходимого продукта, который будет максимально отвечать требованиям поль- зователя. Стандартизированного подхода к оценке качества СОА, на сегодняшний день, не существует. Тесты, которые предлагают производители, обладают маркетинговой направленность и не позволяют оценить функциональные возможности различных систем, чтобы впоследствии сравнить их и сделать обоснованный выбор. Термин «СОА» – Системы обнаружения компьютерных атак (IDS – Intrusion Detection Systems) – один из важнейших элементов систем информационной безо- пасности компьютерных сетей. СОА представляет собой программное или аппа- ратное средство, служащее для выявления фактов неавторизованного доступа в компьютерную систему или сеть. Качество СОА – это совокупность характеристик СОА, обуславливающих её способность удовлетворять определенным требованиям в соответствии с назначе- нием. Сам термин «характеристики» определяет объективные стороны объекта, без оценивания важности самих характеристик для потребителя. Оценка качества работы СОА включает в себя рассмотрение ее количественных и качественных характеристик. Другими словами, оценивается производительность СОА и ее функциональные возможности. Основные значимые компоненты СОА. Рассмотрим модель СОА, предло- женную CIDF [1], которая включает в себя четыре основных компонента: 1. Генератор событий (e-box, event) – собирает данные для принятия ре- шения анализатором. Данные могут содержать имя контролируемого па- раметра, его особенности и значения. 2. Анализатор (a-box, analyzer) – принимает решение о наличии симптомов атаки на основании данных от сенсоров. Анализатор может выполнять функции преобразования, фильтрации, нормализации и корреляции данных. 3. Хранилище данных (d-box, database) – необходимо для принятия решения и хранения данных сенсоров. Кроме того, в хранилище содержатся пара- метры управления (перечни контролируемых параметров, частота прове- дения контроля и т.д.) и семантические описания атак. 4. Модуль реакции системы на обнаруженную атаку (r-bох, reaction) – при пассивной реакции система обнаружения вторжений оповещает админи- стратора о начале атаки, используя выдачу сообщения на экран монитора, посылку e-mail, сигнал на пейджер или звонок на сотовый телефон. Схема взаимодействия основных компонентов модели CIDF приведена на рис. 1. Область действия качественных характеристик. Качественные характери- стики (функциональные) – представляют собой набор критериев для оценки рабо- тоспособности СОА в типовой окружающей среде, когда атакующий находится вне сети, в которой расположена СОА, например, в Internet. Определение функциональных возможности СОА (например, способности обнаруживать атаки, сообщать об инцидентах, сохранять информацию), является основной задачей характеристик качества. Они позволяют наиболее полно вы- явить недостатки тестируемой системы обнаружения атак.

127 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

e-box генератор событий

a-box d-box анализатор хранилище данных

r-box модуль реакции Рис. 1. Схема взаимодействия основных компонентов модели CIDF

Механизм выбора характеристик качества При разработке требований к набору функциональных характеристик для оценки качества СОА исследуются функции, которые могут повлиять на эффек- тивность обнаружения атак:  функции, наиболее критичные для собственно обнаружения атак;  функции, критичные для противостояния тем атакам, приоритетной целью которых являются непосредственно СОА [2]. Для получения ответа на вопрос о наиболее критичных аспектах работы СОА при обнаружении атак, используется следующий подход. При разработке СОА, в неё закладываются знания о функционировании протоколов стека TCP/IP. Этот подход обращает внимание на слабые стороны протоколов, использование которых позво- ляет легально обойти механизмы СОА. Таким образом, СОА, основанная на следо- вании RFC, оказывается уязвимой вне зависимости от точности следования. Уязвимости систем обнаружения атак. Системы обнаружения атак имеют свои слабые стороны и уязвимости. Рассмотрим основные уязвимости сетевых СОА и методы, которые могут использовать злоумышленники для ее обмана. Каждый из компонентов СОА, указанных в модели CIDF, имеет свое уни- кальное назначение и может быть атакован по разным причинам. Атаки против e-box, работающие с входными «сырыми» (raw) данными, по- зволяют блокировать реальные события, происходящие в контролируемой сис- теме. Атака против e-box сетевой СОА может сделать недоступным получение пакетов из сети или сделать недоступным соответствующее декодирование этих пакетов. Некоторые СОА используют сложный анализ. В таких системах надеж- ность используемого а-box очень важна, поскольку атакующий может обойти систему обнаружения. Кроме того, сложная техника обнаружения может предос- тавить различные пути для проведения атаки. С другой стороны, простейшие сис- темы могут пропустить атаки, в которых злоумышленник маскирует свою дея- тельность сложным скоординированным взаимодействием или взаимосвязями. Злоумышленник может разрушить компоненты d-box, чтобы защититься от записи деталей атаки. Неправильно используемая БД может позволить ему, произвести замену или удаление зарегистрированных данных об атаке. Данные сценарии необходимо учитывать при создании надежной базы данных.

128

Раздел II. Безопасность информационных систем и сетей

Слабой стороной сетевых СОА является то, что они принимают решение на основе анализа сетевого трафика, поэтому не могут предвидеть, как поведет себя целевая система при получении этого трафика [3]. Также необходимо учиты- вать, что сами СОА могут быть подвержены атакам отказа в обслуживании (выве- дение их из строя или исчерпание их ресурсов). Сетевые СОА функционируют как пассивные устройства, обнаруживающие аномалии и злоупотребления (сигнатуры). Методы обнаружения аномалий для сетевых СОА используются довольно редко, из-за большого числа ложных сра- батываний и потребности в большом периоде времени для построения «нормаль- ного» поведения. Основные методы обхода СОА, работающих на обнаружение злоупотреблений:  сбивание с толку;  фрагментация;  шифрование;  перегрузка. Примеры техники обхода сетевых СОА. Фрагментация – это процесс разделения пакетов на множество фрагментов. Данная процедура применяется, когда пакет слишком большой для передачи по сети. Это может происходить на любом роутере (если не установлены запрещаю- щие флаги). Принимающая система хранит поступающие фрагменты, выделяет ресурсы для ожидания ещё не принятых и собирает их в правильном порядке. Что бы проходить через роутер, TTL фрагментов должно быть больше 1, так как ро- утер уменьшает TTL полученного пакета на единицу. Если TTL фрагмента равно 1, оно станет равным 0, и пакет не пойдет дальше, а будет отброшен. Отправителю в этом случае будет отправлено ICMP сообщение: "Time Exceeded In Transit". Таймаут сборки фрагментов (IP Fragment Reassembly Timeout) указывает время, которое фрагмент будет храниться несобранным. По истечению таймаута фрагмент будет отброшен. В различных ОС это значение имеет разную величину и может быть использовано для определения версии системы. СОА так же реас- семблируют фрагменты и имеют такой же таймаут. Для примера, в СОА Snort по умолчанию значение таймаута равно 60 секунд, после истечения которых, пакет с первым фрагментом уничтожается и соединение сбрасывается. Если реассемблировать фрагменты в отведенное время невозможно, хост или роутер должен выслать сообщение об истечении времени сборки пакета (ICMP Fragment Reassembly Time Exceeded message, ICMP type=11, code=1), как регла- ментируется в RFC-792. Сообщение посылать не требуется, если первый фрагмент потока недоступен [2]. 1. Таймаут СОА меньше времени сборки у целевой системы. Предположим, что на СОА значение таймаута сборки составляет 15 секунд, а на целевой системе (цели атаки, защищаемой системе) – 30 секунд (время, уста- новленное по умолчанию для Linux). Тогда после посылки первого фрагмента, злоумышленник может послать новый первый фрагмент, с другим содержимым, в промежутке от 15 до 30 секунд, как это происходит показано на рис. 2. В этом случае СОА будет отбрасывать первый пакет из-за превышения тай- маута сборки (и не принимать второй), а на целевой машине поток будет соби- раться правильно. В результате атака может достигнуть цели, при этом тревога поднята не будет. 2. Таймаут COA больше чем у жертвы. У ОС Linих/FrееВSD таймаут сборки по умолчанию составляет 30 секунд, а у Snort – 60. Схема использования этой техники обхода показана на рис. 3. Наруши- тель делит пакет на четыре сегмента с номерами 1, 2, 3, 4 соответственно.

129 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

СОА Атакующий Целевая система Параметр фрагментации = 15 сек Параметр фрагментации = 30 сек

Время = 0 сек Frag 1 Send Frag 1 Recive Frag 1 Recive

Время = 15 сек Wait Frag dropped Frag 1 Wait

15 сек < Время Атака Frag 2 Frag 2 < 30 сек Send Recive Frag 2 Frag 1

Рис. 2. Обход с использованием техники таймаута сборки (1)

Атакующий СОА Целевая система Параметр фрагментации = 60 сек Параметр фрагментации = 30 сек

Время = 0 сек Frag 2' Frag 4' Frag 2' Frag 4' Frag 2' Frag 4'

Send Recive Recive

Fragments Время = 30 сек Wait Frag 2' Frag 4' Droped Frag Wait

False Reassembly

30 сек < Время Frag Frag Frag Frag Frag 1 Frag 3 Frag 1 Frag 3 < 60 сек 4' 3 2' 1

Send Recive

Correct Reassembly

30 сек < Время Frag Frag Frag Frag Frag 2 Frag 4 Frag 2 Frag 4 < 60 сек 4 3 2 1

Send Recive Атака Рис. 3. Обход с использованием техники таймаута сборки (2)

В первом случае фрагменты 2 и 4 не содержат никакой полезной информации (обозначим их 2' и 4'). Они получаются и целевой системой, и СОА. Нарушитель должен дождаться, пока фрагменты на целевом компьютере будут отброшены. Тогда у целевого компьютера нет первого фрагмента и, соответственно, ICMP со- общение об истечении времени сборки не будет отправлено. После сброса зло- умышленник сначала посылает новые пакеты (с номерами 1 и 3) с нужной ему информацией, затем пакеты с номерами 2 и 4, но уже с нужной ему информацией. Система обнаружения атак уже реассемблировала сессию со старыми фрагмента- ми, поэтому новые пакеты 2 и 4 дойдут до цели. В результате целевая система по- лучит все 4 части с правильной информацией, а СОА только две, и не сможет заре- гистрировать атаку. 3. Атака на систему обнаружения атак с использованием TTL В этом случае атакующему необходимо точно знать, сколько роутеров на маршруте между ним и целевой системой, что можно установить, воспользовав- шись утилитой traceroute (рис. 4).

130

Раздел II. Безопасность информационных систем и сетей

Атакующий СОА Целевая система Роутер

Frag 1 Frag 1 Frag 1

Send Recive Recive

Frag 2' Frag 2' Frag 1 Frag Droped Frag 1 TTL = 1 TTL = 1 (на роутере) Send Recive Wait

Frag Frag Frag Frag Frag Frag 3 3 2' 1 3 1

Send False Reassembly Wait

Frag Frag Frag Frag 2 Frag 2 3 2 1 Send Recive Correct Reassembly Рис. 4. Атака СОА с использованием TTL

Между COA и целевой системой расположен роутер. Нарушитель разбивает атаку на три фрагмента. Первый фрагмент имеет большое значение TTL и будет по- лучен как целевым компьютером, так и СОА. Второй фрагмент (обозначенный 2') является «мусорным» и его TTL равно 1. Он будет получен СОА, но на роутере бу- дет отброшен, поскольку его TTL станет равным 0. После этого посылается третий фрагмент с правильным TTL. СОА соберёт все фрагменты и проверит их, а целе- вая система будет ожидать средний фрагмент. Когда после этого злоумышленник отправит второй пакет с нужной информацией и правильным TTL, он будет про- игнорирован СОА. Целевая система сможет собрать весь поток, и атака будет за- вершена. 4. Политики сборки пакетов В существующих ОС сборка фрагментов осуществляется разными способами [4]. Выделают пять различных политик сборки. Это даёт нарушителю возможность использовать атаки, основанные на разном времени фрагментации и подмене фрагментов. В политике, условно называемой First, предпочтение при сборке пакетов из фрагментов отдается фрагментам, полученным раньше, а в политике Last – позже. Политика First реализована в операционных системах семейства Windows, а Last – Cisco iOS. Пример атаки продемонстрирован на рис. 5. Сначала злоумышленник делит пакет на четыре сегмента с номерами 1, 2, 3, 4 соответственно. Фрагменты 1–3 посылаются первыми, они будут приняты всеми операционными системами. Потом посылаются фрагменты 2', 3' и 4, где фрагмен- ты 2' и 3' содержат новые данные, однако такое же смещение, длину и прочие поля в IP-заголовке, как у оригинальных фрагментов 2 и 3. В этом случае операционные системы с разными политиками сборки соберут потоки из фрагментов 1, 2, 3 и 4, и из фрагментов 1, 2', 3', 4, т.е. получат совер- шенно разные данные. Методика формирования требований к составу качественных характе- ристик. Проанализировав методы обнаружения атак и ряд современных СОА, вы- яснилось, что способность СОА обнаруживать атак в условиях активного уклоне- ния атакующего не учитывается при выборе критериев сравнения.

131 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Cisco IOS Атакующий Win XP Reassembly Reassembly

Frag Frag Frag Frag Frag Frag Frag Frag Frag Send Recive Recive 3 2 1 3 2 1 3 2 1

Reassembled Reassembled

Frag Frag Frag Frag Frag Frag Frag Frag Frag Frag Frag Send 4 3' 2' 4 3 2 1 4 3' 2' 1

Рис. 5. Политики сборки пакетов

Исходя из вышеописанных методы обхода систем обнаружения атак, можно сформулировать два новых требования к устойчивости работы СОА:  способность обнаруживать атаки с использованием ресинхронизации;  способность обнаруживать атаки, связанные со злонамеренной фрагмен- тацией/сегментацией. Для определения уязвимых мест разработан набор тестов, определяющих, как ведут себя вышеуказанные критические механизмы СОА (табл. 1), [3]. Серия тестов состоит из нескольких групп, различных по назначению. В результате выполнения тестов работоспособности и правильности конфи- гурации можно сделать вывод о способности СОА выполнять свои функции. Таблица 1 Группы тестов для оценки реализации критических функций СОА Функция СОА Ожидаемый результат Определяется, поддерживает ли тестируемая СОА СОА либо производит сборку сборку пакетов при наличии злонамеренной пакетов, либо в некоторых фрагментации (out-of-order, дублирующие случаях нет (указывается фрагменты, и т.д.)? конкретно). Определяется способность СОА обрабатывать СОА должна сложный TCP-трафик в следующих ситуациях: руководствоваться знаниями отсутствие ответа от целевого хоста перед тем, как об известных аномалиях и начать обработку данных перехваченных пакетов, синхронизироваться с нулевое значение номера последовательности или механизмами обработки резкое изменение его значения, перекрывающиеся трафика защищаемой или дублированные сегменты, сегменты в системы, а не следовать RFC. беспорядочном TCP трафике, сборка TCP-сегментов, пришедших не по порядку (out-of-order)? Определяется, как СОА контролирует СОА не должна проверять TCP-соединение: проверяет ли наличие наличие соединений и всегда установленного соединения, перед тем, как начать должна обрабатывать данные из конкретного соединения, ресинхронизироваться. ресинхронизируется при получении SYN-пакета после завершения установки соединения?

132

Раздел II. Безопасность информационных систем и сетей

Окончание табл. 1 Функция СОА Ожидаемый результат Определяется, как в СОА осуществляется СОА не должна прекращать обработка TCP-данных после формального разрыва обработку данных, иначе она соединения: корректно ли ресинхронизируется уязвима для обхода. СОА после легитимного завершения соединения, останавливает ли СОА обработку данных соединения после прихода RST? Определяется, как в СОА осуществляется СОА не должна обработка аномальных значений полей пакетов: игнорировать такие пакеты, проверяет ли контрольную сумму у принятых IP и иначе она уязвима для TCP пакетов, обрабатывает ли СОА TCP-данные в обхода. сегментах без флага ACK? Определяется, поддерживает ли СОА основные СОА должна обрабатывать функции обнаружения попыток уклонения, такие такие пакеты. как, например, контроль передачи данных в SYN-пакетах? Состав характеристик для сравнения СОА. С помощью функциональные характеристики оценивают эффективности основной функции СОА – обнаруже- нии атак. При сравнении сетевых СОА, должны оцениваться следующие качест- венные характеристики СОА: 1. Способность анализировать заголовки – позволяет обнаруживать атаки, связанные со значениями заголовков IP пакетов. 2. Способность собирать фрагментированный трафик – показывает, как в СОА реализованы функции реассемблирования фрагментированного тра- фика и обнаружения атак, заключенных в нескольких пакетах. 3. Способность обнаруживать атаки, связанные с данными пакетов – позво- ляет обнаруживать атаки, связанные с данными пакетов. 4. Способность обнаруживать атаки с использованием ресинхронизации – характеризует, как СОА контролирует попытки уклонения с использова- нием злонамеренных модификаций состояния TCP-соединения. 5. Способность обнаруживать атаки, связанные со злонамеренной фрагмен- тацией/сегментацией – характеризует способность СОА анализировать пакеты, посылаемые в произвольном порядке и с различными временными интервалами между ними, с целью обойти механизм обнаружения. 6. Способность оповещать об инцидентах – характеризует возможности про- граммы оповещать об инцидентах, как локально, так и через электронную почту и SMS. 7. Способность сохранять информацию для анализа – характеризует воз- можности программы по сохранению информации об инцидентах для дальнейшего анализа. 8. Покрытие базой СОА зарегистрированных уязвимостей (наличие CVE- идентификаторов) – позволяет по формальным признакам оценивать по- крытие СОА зарегистрированных уязвимостей; позволяет сравнить раз- личные СОА, использующие разные подходы к обнаружению атак. 9. Архитектура системы принятия решения – показывает, где принимается окончательное решение об обнаружении атаки – на сенсорах или на кон- соли управления. 10. Цена.

133 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Цель характеристик производительности (количественных характеристик) – определить характеристики работы СОА с пакетами [3]. Выделяют следующие количественные характеристики оценки производи- тельности СОА: 1. Скорость обработки пакетов – позволяет оценить способность СОА пере- хватывать пакеты не вызывая тревоги; 2. Эффективность фильтрации при решении задачи перехвата и разбора па- кета и реагирования на атаку (генерации тревоги) – оценивает общую эф- фективность системы при решении задачи перехвата, разбора пакета и реагирования на атаку; 3. Производительность сенсора при сборке пакетов – определяет производи- тельность сенсора при сборке пакетов; 4. Влияние работы СОА на производительность системы – позволяет оце- нить влияния работы СОА на загруженность центрального процессора и памяти, и общую производительность хоста. Для большей части качественных характеристик установлена зависимость от ко- личественных характеристик [6]. Графически это зависимость представлена на рис. 6.

Рис. 6. Зависимость качественных характеристик от количественных

Заключение. Представленные требования к составу характеристики для оценки СОА позволяют проводить оценку её полезности для пользователя и де- лать выводы о степени соответствия реальных и заявленных производителем функциональных свойств.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК 1. Common Intrusion Detection Framework. URL: http://www.gidos.org/ (дата обращения 18.10.2010). 2. Половко И.Ю. Абрамов Е.С. Выбор характеристик систем обнаружения атак для выра- ботки заключения о функциональных возможностях СОА // Известия ЮФУ. Техниче- ские науки. – 2011. – № 12 (125). – С. 88-96. 3. Ptacek Т.Н., Newsham T.N. Insertion, evasion, and denial of service: eluding network intrusion detection. // Technical Report, Secure Networks, January 1998. 4. RFC-792 Протокол ICMP. 5. Половко И.Ю. Методы тестирования производительности сетевых СОА // Материалы первой Всероссийской молодёжной конференции по проблемам информационной безо- пасности «Перспектива 2009». – Таганрог: Изд-во ТТИ ЮФУ, 2009. – С. 192-195. 6. Половко И.Ю. Разработка и исследование системы оценки качества СОА. URL: http://www.library.sfedu.ru/referat/D212-208-25/05-13-19/20120323_D212-208-25_05-13- 19_PolovkoIY.pdf (дата обращения 21.09.2013). Статью рекомендовал к опубликованию д.т.н., профессор Н.И. Витиска.

134

Раздел II. Безопасность информационных систем и сетей

Половко Иван Юрьевич – Федеральное государственное автономное образовательное учреждение высшего профессионального образования «Южный федеральный универси- тет»; e-mail: [email protected]; 347928, г. Таганрог, ул. Чехова, 2; тел.: 88634371905; кафедра безопасности информационных технологий; к.т.н.; ассистент. Polovko Ivan Yur’evich – Federal State-Owned Autonomy Educational Establishment of Higher Vocational Education “Southern Federal University”; e-mail: [email protected]; 2, Chekhova street, Taganrog, 347928, Russia; phone: +78634371905; the department of security of information technologies; cand. of eng. sc.; assistant professor.

УДК 004.056.5, 004.89

А.В. Никишова, А.Е. Чурилина ОБНАРУЖЕНИЕ РАСПРЕДЕЛЕННЫХ АТАК НА ИНФОРМАЦИОННУЮ СИСТЕМУ ПРЕДПРИЯТИЯ

Современный этап развития информационных систем основан на достижениях те- лекоммуникационных технологий, что обуславливает применение распределенной обработ- ки информации. Это привело к появлению нового вида атак на информационные системы, распределенных как во времени, так и в пространстве. По данным Лаборатории Касперского в период 2013 г. были распространены целевые атаки, использующие разнообразные средства проникновения. Также зафиксировано большое количество взломов корпоративных сетей. Подобные атаки характеризуются большой сложностью и имеют многошаговый алгоритм действий и распределенный характер [1]. Предложена многоагентная система обнаружения атак (СОА), использующая пред- положение о многошаговости реализации атак на информационные системы предприятий, что подтверждается приведенной статистикой. Система использует адаптивный метод обнаружения атак – нейронные сети. Эксперименты показали, что предложенный подход для построения многоагентной СОА позволяет уменьшить вероятность ложного срабатывания используемого адаптив- ного метода обнаружения атак при неувеличении вероятности пропуска атаки. Атака; распределенные атаки; система обнаружения атак; многоагентная система обнаружения атак; интеллектуальный агент; нейронная сеть.

A.V. Nikishova, A.E. Churilina DISTRIBUTED INTRUSION INTO INFORMATION SYSTEM OF ENTERPRISE DETECTION

Modern phase of information systems’ development is based on the achievements of telecommunication technologies that causes the application of distributed information processing. This led to the emergence of a new type of intrusion into information systems, distributed in both time and space. According to Kaspersky Lab in the period 2013 targeted intrusions were distributed using a variety of means of penetration. Also large number of corporate networks’ hacks was recorded. These intrusions are characterized by great complexity and have a multi-step algorithm of actions and distributed nature [1]. Multi-agent intrusion detection system (IDS) that uses the assumption of multi-step of intrusions into enterprises’ information systems implementation, which is confirmed by the given statis- tics, is suggested. The system uses the adaptive method of intrusion detection – neural networks. Experiments showed that the suggested approach for building multi-agent IDS allows reducing the risk of used adaptive intrusion detection method false positives when not increasing the probability of intrusion missing. Intrusion; distributed intrusion; intrusion detection system; multi-agent intrusion detection system; intelligent agent; neural network.

135 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Статистика организаций, работающих в области защиты информации, на- пример, McAfee Inc, показывает относительно стабильный рост количества новых образцов атакующих воздействий (рис. 1) [2].

Рис. 1. Количество новых образцов атакующих воздействий по кварталам

Постоянно возникающие новые виды атак обуславливают необходимость применения адаптивных методов для обнаружения атак, позволяющих уменьшить вероятность пропуска атак, например, статистических методов [3], нейронных се- тей [4], иммунных сетей [5]. Однако подобные методы обладают большой вероят- ность ложных срабатываний, что ограничивает их широкое применение. А потому целью предлагаемой многоагентной СОА является снижение вероятности ложных срабатываний при неувеличении вероятности пропуска атак. По результатам анализа типовых информационных систем предприятия [6] и основных злоумышленных воздействий на них [7], была предложена архитектура многоагентной СОА (рис. 2).

Агенты серверов Серверы Агент маршрутиза- тора

INTERNET Маршрутизатор Агент маршрутиза- тора Агент Агент Маршрутизатор маршрутиза- маршрутиза- тора тора Агент сети Маршрутизатор Агент сети Коммутатор Структурные подразделения Структурные подразделения

Агенты рабочих Агенты рабочих станций станций Рис. 2. Архитектура многоагентной СОА

136

Раздел II. Безопасность информационных систем и сетей

Многоагентная СОА имеет вид MAS {AR , AN , AS , AW }, где v o – множество агентов маршрутизаторов, делится на подмноже- AR {AR , AR} o ство агентов внешних маршрутизаторов AR и подмножество агентов внутренних v AR маршрутизаторов;

AN – множество агентов сети, анализирующие сведения о пакетах, переда- ваемых по сети, N. Данный агент располагается в каждом сегменте сети; 1 n AS {AS ,..., AS } – множество агентов серверов. На каждом сервере распола- i гаются несколько агентов различных типов AS , где i=1..n – зависит от функцио- нального назначения сервера, которые анализируют события, наиболее критичные с точки зрения безопасности; 1 m AW {AW ,..., AW } – множество агентов рабочих станций. На каждой рабочей j станции располагается несколько агентов различных типов AW , где j=1..m – зави- сит от функционального назначения рабочей станции, которые проводят анализ событий, наиболее критичных с точки зрения безопасности. Каждый агент имеет структуру, содержащую выбранный адаптивный метод обнаружения атак – нейронную сеть, и описывается состоянием (P, B, S, G, I), где P – ощущение. Представляет собой информацию об окружающей среде, со- бираемую агентом, т.е. набор входных данных агента, различается в зависимости от типа агента. B – убеждения. Множество убеждений, т.е. сведений и знаний об окружаю- щей агента среде. Убеждения агента представляют собой нейронную сеть. На пер- вом этапе агенты собирают сведения о нормальном функционировании информа- ционной системы, злоумышленных действиях, нарушениях политики безопасно- сти и т.д., и на основе них создают обучающую выборку для нейронной сети. S – ситуация. Конкретное состояние среды, т.е. конкретные значения вход- ных данных и результата классификации их нейронной сетью. G – цели. Определяется как желаемое состояние среды. I – намерения. Множество возможных планов действий агента. Для реализации предложенной структуры агентов была разработана архитек- тура программной реализации агента (рис. 3).

Пользовательский интерфейс Сообщения

Модуль Модуль Модуль Реакция анализа управления реакции на атаку

Сообщения НС Модуль Модуль получения и принятия обработки общего данных решения

События ИС Рис. 3. Архитектура агента

137 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Модуль управления осуществляет получение настроек из пользовательского интерфейса и передачу результатов анализа сведений о состоянии информацион- ной системы агентом на пользовательский интерфейс. Также он производит аутен- тификацию субъекта взаимодействия, общую настройку агента, запуск процесса анализа и процесса принятия общего решения, передачу данных и инициацию процесса генерации и интерпретации сообщений, управляет реакцией агента. Модуль получения и обработки данных получает данные из определенного источника сведений о состоянии информационной системы, проводит их преобра- зование в вид, необходимый для передачи на вход нейронной сети. Полученные данные передаются на вход нейронной сети и записываются в базу данных – обу- чающую выборку. Модуль анализа, получив результат анализа от нейронной сети, записывает выход нейронной сети в базу данных и интерпретирует его. В зависимости от зна- чения выхода событие либо игнорируется, либо управление передается на модуль управления для инициации принятия общего решения агентами, либо управление передается модулю управления для формирования реакции агента на атаку. Модуль реакции осуществляет выполнение намерений агента. В зависимости от типа агента и настроек, агент может сообщить сведения об атаке специалисту по защите информации, отправить ICMP-пакет, сообщающий атакующему узлу о недоступности узла, сети или сервиса, или приостановить или завершить процесс. В случае если выход нейронной сети агента не позволяет однозначно отнести анализируемое событие к нормальному поведению компонента информационной системы или к атакующему воздействию, вызывается модуль принятия решения [8]. Он формирует упорядоченные предпочтения агента и инструктирует модуль управления сгенерировать и отправить сообщения своим соседям об инициации процедуры принятия общего решения. После получения наборов упорядоченных предпочтений, модуль проводит процедуру голосования. В случае если совместное решение показало ошибку агента, запускается таймер. По истечению времени тай- мера процедура повторяется снова, но не более n раз. Если после повторений про- цедуры, будет подтверждена ошибка агента, уменьшается его показатель качества. При достижении показателем качества порогового значения, убеждения агента пересматриваются. Эксперименты проводились на фрагменте сети, состоящей из сервера, двух маршрутизаторов, двух подсетей и 4 рабочих станций. Были установлены 4 агента рабочей станции, 2 агента сети, 2 агента маршрутизатора и 1 агент сервера. В обучающую выборку для нейронных сетей агентов к нормальным событи- ям информационной системы случайным образом, согласно нормальному закону распределения, были добавлены:  образцы атакующих воздействий;  нарушение политики безопасности;  образцы аномального поведения компонентов информационной системы. В ходе экспериментов было сделано предположение о многошаговости и распределенности атакующих воздействий. На основании этого в случае неспо- собности нейронной сети отнести анализируемое событие к нормальному поведе- нию компонента информационной системы или атакующему воздействию, все одиночные события рассматривались как штатное отклонение от функционирова- ния информационной системы и игнорировались, группы подобных событий рас- ценивались как атакующие воздействия, что вызывало реакцию со стороны много- агентной СОА.

138

Раздел II. Безопасность информационных систем и сетей

При этом в тестовую выборку были включены сетевые пакеты вида, пред- ставленного в табл. 1, не входящие в обучающую выборку, т.е. являющиеся ано- мальными для функционирования ИС. Таблица 1 Фрагмент тестовой выборки IP источ- IP получа- Порт Порт Иденти- Протокол TCP ICMP ника теля источ- получа- фикатор флаги тип ника теля 3232249857 3232249860 49160 445 34816 6 24 -1 3232249860 3232249857 445 49160 136 6 24 -1 При перехвате аномальных пакетов от рабочей станции 1 к рабочей станции 3 агент сети 1 классифицирует пакет 3-м уровнем опасности (рис. 4).

Рис. 4. Результат классификации пакета агентом сети 1 (экранная копия)

Агент инициирует принятия общего решения. В принятии общего решения учувствуют агенты рабочих станций 1 и 3, текущий уровень опасности у которых равен 1 (рис. 5) и их предпочтения равны 12345; агент маршрутизатора 2, текущий уровень опасности у которого равен 1 и предпочтения равны 12345; и агенты сети 1 и 2, текущий уровень опасности которых равен 3 и их предпочтения равны 34251.

Рис. 5. Текущая ситуация агента рабочей станции 3 (экранная копия)

139 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

В результате принятия общего решения, уровень опасности для информаци- онной системы был определен как 1-ый, значение выходов нейронных сетей аген- та сети 1 и 2 было заменено на середину интервала выбранного уровня опасности, их показатель качества был уменьшен (рис. 6).

Рис. 6. Пересмотр убеждений агента сети 1 (экранная копия)

После этого в тестовую выборку также были включены события рабочих станций вида, представленного в табл. 2, не входящими в обучающую выборку. Таблица 2 Фрагмент тестовой выборки Событие Тип Пользователь Время 4783 4 1013 30180 4722 5 1013 29703 4688 4 1113 33280 4689 4 1113 46400 4624 4 1013 77421 4702 4 1013 77425 Агент рабочей станции 3 классифицирует подобные аномальные события 4-м уровнем опасности (рис. 7).

Рис. 7. Результат классификации пакета агентом рабочей станции 3 (экранная копия)

140

Раздел II. Безопасность информационных систем и сетей

В принятии общего решения учувствуют агент рабочей станции 1, текущий уровень опасности у которого равен 1 и его предпочтения равны 12345; агент ра- бочей станции 3, текущий уровень опасности у которого равен 4 и его предпочте- ния равны 45321; агент маршрутизатора 2, текущий уровень опасности у которого равен 1 и предпочтения равны 12345; агенты сети 1 и 2, текущий уровень опасно- сти которых равен 3 и их предпочтения равны 34251. В результате принятия общего решения уровень опасности для информаци- онной системы был определен как 3-ий, и было отправлено извещение специали- сту по защите информации (рис. 8).

Рис. 8. Оповещение специалиста по защите информации (экранная копия)

В экспериментах показана эффективность применения процедуры принятия общего решения. Было сгенерировано 250 одиночных аномальных событий, 250 групп ано- мальных событий ИС. Эти события случайным образом в соответствии с нормаль- ным законом распределения были встроены в поток нормальных событий инфор- мационной системы, общее количество которых составило 50000. Было проведено 100 испытаний. Средние значения испытаний представлены в табл. 3. Таблица 3 Результаты экспериментов Без применения С применением алгоритма принятия алгоритма принятия общего решения общего решения Число нормальных 50000 50000 событий Количество событий, 617 346 определенных как атака Количество пропусков 11 10 атаки Количество ложных 384 101 срабатываний На основании данных из таблицы 3 вероятность ошибки 1-го рода – пропус- ков атаки, в первом случае составила 0,044, а во втором случае – 0,040. Вероятность ошибки 2-го рода – ложных срабатываний, в первом случае со- ставила 0,0076, а во втором случае – 0,0020. В среднем вероятность ошибки 1-го рода уменьшилась в 1,1 раз, а вероят- ность ошибки 2-го рода уменьшилась в 3,8 раза. Под эффективность предложенной многоагентной СОА будем понимать свойство системы получать требуемый результат ее функционирования, т.е. обна- ружение атак, соотнесенное с затратами ресурсов [9]. Тогда показатель эффектив- ности рассчитывается по формуле:

141 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

A E  , R где E – показатель эффективности, A – потенциальный эффект, R – ресурсоемкость. В качестве потенциального эффекта принимается количество ошибок 1-го и 2-го рода. А в качестве ресурсоемкости – количество событий, обрабатываемых многоагентной СОА в секунду.

По результатам экспериментов показатель эффективности E1 многоагентной СОА, функционирующей без применения алгоритма принятия общего решения, составил: 389 E   0.07 1 5476

Показатель эффективности E2 многоагентной СОА, функционирующей с применением алгоритма принятия общего решения, составил: 122 E   0.02 2 5459 При расчете полагалось, что принятие общего решения, состоящее из трех циклов расчетов, осуществлялось один раз в секунду. В связи с особенностями выбора показателей, чем меньшее значение имеет показатель эффективности, тем эффективнее СОА. Расчеты показали повышение эффективности в 3,5 раза при применении многоагентной СОА с применением алгоритма принятия общего решения.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК 1. Масленников Д. Развитие информационных угроз в первом квартале 2013 года [Элек- тронный ресурс] // Лаборатория Касперского. Аналитика от 15 мая 2013 г. URL: http:// www.securelist.com / ru / analysis / 208050801 / Razvitie_ informatsionnykh_ugroz_v_ pervom_kvartale_2013_goda (дата обращения: 15.10.2013). 2. McAfee Threats Report: Second Quarter 2013 [Электронный ресурс] // McAfee Labs. Re- ports. URL: http://www.mcafee.com/ca/resources/reports/rp-quarterly-threat-q2-2013.pdf. 3. Будько М.Б., Будько М.Ю. Отслеживание изменений в структуре сети и решение задач повышения безопасности на основе анализа потоков данных // Научно-технический вестник Санкт-Петербургского государственного университета информационных тех- нологий, механики и оптики. – 2009. – № 59. – С. 78-82. 4. Абрамов Е.С., Сидоров И.Д. Метод обнаружения распределенных информационных воздействий на основе гибридной нейронной сети // Известия ЮФУ. Технические нау- ки. – 2009. – № 11 (100). – С. 154-164 5. Аткина В.С. Применение иммунной сети для анализа катастрофоустойчивости информа- ционных систем // Известия ЮФУ. Технические науки. – 2011. – № 12 (125). – С. 203-210. 6. Никишова А.В. Архитектура типовой информационной системы для задачи обнаруже- ния атак // Известия ЮФУ. Технические науки. – 2011. – № 12 (125). – С. 104-109. 7. Максимова Е.А., Корнева В.А. Формализация действий злоумышленника при прогнози- ровании вторжений в корпоративную информационную систему // Актуальные вопросы информационной безопасности регионов в условиях глобализации информационного пространства: материалы II Всероссийской науч.-практ. конф., г. Волгоград, 26 апреля 2013 г. – Волгоград: Изд-во ВолГУ, 2013. – С. 71-78. 8. Никишова А.В. Кооперация агентов многоагентной системы обнаружения атак // Акту- альные вопросы информационной безопасности регионов в условиях глобализации ин- формационного пространства: материалы II Всероссийской науч.-практ. конф., г. Волго- град, 26 апреля 2013 г. – Волгоград: Изд-во ВолГУ, 2013. – С. 118-120.

142

Раздел II. Безопасность информационных систем и сетей

9. Максимова Е.А., Корнева В.А. Оптимизация технологии безопасного информационно- го взаимодействия в корпоративных системах // Материалы XII Международной на- учно-практической конференции «ИБ-2012». Ч. II. – Таганрог: Изд-во ТТИ ЮФУ, 2012. – С. 124-129. Статью рекомендовал к опубликованию д.т.н., профессор О.Б. Макаревич. Никишова Арина Валерьевна – Волгоградский государственный университет; e-mail: [email protected]; 400062, г. Волгоград, пр. Университетский, 100; тел.: 88442460368; кафед- ра информационной безопасности; старший преподаватель. Чурилина Александра Евгеньевна – e-mail: [email protected]; кафедра информаци- онной безопасности; ассистент. Nikishova Arina Valerievna – Volgograd State University; e-mail: [email protected]; 100, Universitetsky pr., Volgograd, Russia, 400062; phone: +78442460368; the department of informational security; senior lecturer. Churilina Aleksandra Eugenievna – e-mail: [email protected]; the department of informational security; assistant professor.

УДК 004.052.2

А.М. Максимов АНАЛИЗ ОСОБЕННОСТЕЙ ОСУЩЕСТВЛЕНИЯ АТАК НА ВЕБ-СЕРВЕР ПОСРЕДСТВОМ ГЕНЕРАЦИИ ОШИБОЧНЫХ ЗАПРОСОВ

Статья посвящена рассмотрению особенностей функционирования веб-сервера Microsoft IIS. Рассматриваются условия, когда результатом на запросы к веб-ресурсу (умышленные или неумышленные) вместо действительной информации происходит выдача кодов ошибок (например, ошибки класса 4xx, которые являются кодами состояния HTTP). В результате таких запросов может происходить повышение потребления ресурсов веб- сервером, что при достижении некоторых установленных предельных лимитах может стать причиной отказа в обслуживании веб-сервером, или его сильного замедления обра- ботки новых поступающих запросов. Помимо описания проблемы в статье приводятся некоторые данные проведённых тестов, условия, в которых были получены результаты. Также указываются параметры, которые необходимо учитывать при вынесении прогнозов и оценок конечного результата. По результатам рассмотрения выявленных данных предлагаются некоторые методы, которые могут помочь сгладить негативные результаты запросов, вызывающих выдачу ошибок вместо действительного результата. Не оставлены без рассмотрения и негатив- ные аспекты, которые могут быть следствием предлагаемых методов, и которым следу- ет уделить внимание для того чтобы они не оказали существенного отрицательного влияния на конечный результат. Веб-сервер; код состояния HTTP; нагрузка; отказ в обслуживании; IIS; HTTP.

A.M. Maximov ANALYSIS OF ATTACK FEATURES TO WEB SERVER THROUGH REQUESTS WITH ERRORS

The article contains review of functioning features of Microsoft IIS web server under conditions when errors occur (error class 4xx, which are HTTP status codes in fact, for example) as result of requests (intentional or unintentional) instead of actual information. Increased resource usage may occur as result of these requests with errors, so if preset limits are reached, it can be a cause of web server denial of service or significant delays in processing of requests of all type (even actual, without evil intent).

143 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Besides of description, article contains some test results and conditions for obtaining of these results. Also specifies parameters that must be consider while predicting and evaluating final results and offers methods which can help to smooth negative results for requests, which occurs errors instead of actual results. After reviewing suggested methods, the possible negative aspects of their using were identified. Also was described ways for neutralization their negative effects and reduction of impact on the final result. Web server; HTTP status code; workload; DoS attack; IIS; HTTP. В связи с развитием способов применения уже известных инструментов для работы в сети Интернет, увеличивается актуальность вопроса устойчивости дан- ных инструментов, поскольку ресурсы теперь представлены не только достаточно простым контентом, но и комплексными сложными порталами для общей работы, устойчивость и стабильность для которых имеет крайне весомое значение. Для исследования по двум крупным причинам был выбран веб-сервер от компании Microsoft. Во-первых, он является одним из трёх крупнейших по рас- пространённости веб-серверов и занимает (по данным портала netcraft.com на май 2013 г.) долю в 16,7 % рынка (против 53,4 % и 15,5 % у Apache и nginx соответст- венно). Во-вторых, немаловажным фактором является наличие достаточно удоб- ного функционала. Он представлен в виде присутствующих в стандартной конфи- гурации различных дополнительных средств, например таких, как счётчики произ- водительности, что позволяет не отвлекаться на дополнительные факторы обеспе- чения исследования веб-сервера, а целиком заниматься поставленной целью и при этом не волноваться, что этот дополнительный функционал как-то повлияет на результаты. Данная ситуация возможна из-за того, что веб-сервер изначально рас- считан на возможность совместного функционирования с данными измерительно- контрольными средствами. Логика, которая производит поиск нужной страницы для выдачи, может быть обеспечена двумя путями. Первый вариант. Эта логика может быть отдана системе управления контен- том (CMS). При таком варианте, в случае генерации ошибочного запроса (напри- мер, запрос на показ несуществующей страницы, стандартный код состояния HTTP 404), обработка происходит непосредственно системой управления. При этом сама веб-платформа (в данном случае IIS) производит полную обработку данных, поскольку при таком варианте развития событий она не делает различий, существует страница, или нет. Веб-платформа, в данном случае, производит пол- ную обработку сценария, с её позиции сценарий выполняется полностью и конеч- ному клиенту транслируется уже результат (то, что было сгенерировано данным сценарием CMS). Факт наличия страницы определяется сценариями самой систе- мы управления контентом, и взаимодействием этих сценариев с базой данных, подключённой к CMS. В общем виде схема варианта с наличием системы управ- ления контентом представлена на рис. 1.

Рис. 1. Схема выдачи результата при использовании CMS

В случае значительного количества запросов подавляющая часть нагрузки будет уходить к БД, и, как следствие, дисковым подсистемам. Сам веб-сервер про- сто выполнит сценарий.

144

Раздел II. Безопасность информационных систем и сетей

Рассмотрение данного подхода для модернизации является проблемным с той точки зрения, что рынок наводнён множеством различных систем управления контентом (только достаточно известных на сентябрь 2013 г. набралось больше сотни). Выработать общий подход вряд ли возможно, поскольку проекты имеют разную политику и принципы дальнейшего развития и включают в себя и open- source разработки, и проприетарные продукты, и продукты, работающие по схеме «SaaS» (программное обеспечение как услуга). Второй вариант. Обработка логики сайта происходит через непосредственно сам веб-сервер, при этом на него также возложена и функция генерации диагно- стических сообщений. При таком варианте событий веб-платформа не просто ве- дёт обработку запроса на выдачу страниц, но и вынуждена обрабатывать дополни- тельные запросы из числа внутренних, если запрос извне нельзя корректно выпол- нить. Таким образом, происходит добавление задач сверх планируемых для веб- сервера. Такие внутренние запросы также необходимо обрабатывать для нормаль- ного информирования пользователя о результатах его первоначального запроса. В общем случае второй вариант, т.е. система, где обработка сценариев для выполнения логики запрашиваемого веб-ресурса не предусматривает использова- ние CMS, представлена на рис. 2.

Рис. 2. Схема обработки запроса с использованием средств только веб-сервера.

В случае осуществления атаки на веб-сервер самым вероятным вариантом является атака отказа в обслуживании. И если канал связи атакуемого ресурса оказался способен выдерживать поток запросов (например, путём отрезания ICMP echo-request пакетов), а сам сервер справляться с SYN-флудом (путём правильной настройки правил подключения), то в случае целенаправленного странного поведения могут возникнуть проблемы, например, раздувание потребления службами веб-сервера ресурсов сервера. Про- блема может быть проигнорирована в случае наличия достаточно производитель- ных платформ, что, по сути, является решением проблемы методом грубой силы, либо же переведена в такое русло, когда возникновение проблемы не столь замет- но сказывается на потреблении ресурсов физической платформы. То есть увеличе- ние мощности процессоров, предоставление больших объёмов памяти под веб- сервер, либо предоставление новых более быстрых дисковых подсистем, например на основе SSD. Явным минусом данного решения является цена его организации. Вопрос отказоустойчивости здесь стоит достаточно остро, поскольку в случае от- каза восстановление данных является затруднительным из-за особенностей функ- ционирования встроенного в твердотельные накопители фирменного программно- го обеспечения [1], поэтому необходимо добавлять к немалой стоимости решения ещё и стоимость резервирования. Но, тем не менее, простой опор на производи- тельность технических средств не может решить причину проблемы. Обработка внутреннего сценария веб-сервера из-за недействительного запроса.

145 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

В случае действительного запроса нагрузка от обработки запроса, по боль- шому счёту, роли не играет, поскольку конечный клиент должен, так или иначе, получить некий определённый ответ. Но возникает ещё один вопрос. А что же, произойдёт, если запрос не может быть обработан? Здесь начинаются проблемы вида, когда нагрузка есть, а результат заранее известен – получение ошибки с ко- дами состояния. Фактическое потребление ресурсов в данном случае сравнимо с потреблением ресурсов при обработке сложного действительного запроса (напри- мер, на выдачу веб-страницы объёмом более 500 Кб). При этом выдача коротких ненагруженных функционалом страниц в 5–10 Кб является не нагружающей сер- вер операцией. Парадоксом ситуации является то, что сценарий для выдачи кода состояния, несмотря на простоту выдаваемой информации (диагностическое со- общение +коды ошибок), вызывает нагрузку как запрос на показ веб-страницы с достаточно объёмным содержанием. Проблему, опять же, можно решить кардинальным способом. Оставить веб- серверу возможность обрабатывать пользовательские запросы как обычно, но при этом, постаравшись минимизировать количество раз, которое обрабатываются внутренние сценарии в случае ошибок. Вариантом реализации такого подхода может быть ситуация, когда все при- ходящие к веб-серверу запросы первоначально фильтруются межсетевыми экра- нами и пропускаются запросы только к существующим страницам. Но данный способ имеет достаточно крупные недостатки: добавление дополнительного ком- понента в систему функционирования веб-ресурса, что повышает сложность сис- темы в целом, и поднятие нагрузки на межсетевой экран. Помимо всего прочего пришлось бы обеспечивать на сетевом экране акту- альность множества правил, поскольку последние пришлось бы модифицировать каждый раз, когда происходит правка структуры веб-ресурса. Помимо предположения о том, что можно было бы сделать через механизмы, доступные в межсетевых экранах, было проведено небольшое исследование на пред- мет взаимосвязи нагрузки на сервер и обработки запросов с ошибками к веб-серверу. В результате проведённого тестирования было установлено, что 250 одно- временных запросов на показ достаточно объёмной страницы вызывают нагрузку на процессор тестового сервера в среднем в размере 17 % (усреднённые данные за 10 тыс. испытаний, максимальное отклонение не превышало 2 % в высшую сторо- ну и 4% в нижнюю). При этом запросы, вызывающие генерацию страницы с отчё- том об ошибке, в такой же ситуации показали примерно схожие результаты – 15 % потребления процессорного времени при 250 одновременных запросах (так же усреднённые данные примерно за 10 тыс. испытаний). Важно заметить, что ре- зультат тестирования более простой страницы с такими же показаниями (250 од- новременных запросов при 10 тыс. испытаний) оказался достаточно интересен. Обработка простой страницы в 689 байт с несколькими строками текста в качестве содержания занимала в среднем всего лишь 6 % процессорного времени. Вывод достаточно очевиден. Нагрузка при обработке простых страниц меньше, чем нагрузка в случае обработок ошибочных запросов. Эту идею можно использовать для попыток создания автоматизированных интеллектуальных сис- тем, которые смогли бы не просто отслеживать приходящие запросы, события и вести журналы событий, но и производить выполнение некоторого набора дейст- вий, призванного снизить нагрузку на сервер за счёт изменения принципа показа страниц с ошибками и кодами состояний. Здесь, в качестве варианта, можно создать гибрид из веб-сервера и схемы, применяемой в системах управления контентом. Заимствованной схемой, в данном случае, будет то, что страницы с ошибками и кодами состояний будут показывать-

146

Раздел II. Безопасность информационных систем и сетей

ся не те, что генерируются сервером путём обработки своих внутренних сценари- ев, а те, которые предоставили бы CMS (или подобные этим страницам). То есть, со стороны сервера данная схема будет выглядеть как обработка обычной дейст- вительной простой страницы, не нагружающей сервер. Вопросом остаётся то, как эта система может быть реализована. Здесь на помощь как раз и должна приходить уже упомянутая интеллектуальная система, анализирующая приходящие запросы и историю запросов за некий уже прошедший период времени. Поскольку вероят- ность того, что разные реальные люди станут запрашивать одни и те же несущест- вующие страницы не так уж и велика, то наличие факта такого потока запросов может свидетельствовать о целенаправленном воздействии на веб-сервер, то есть, фактически, об атаке в виде множества сгенерированных ошибочных запросов. В данном случае то, что послужило источником – не сильно важно, поскольку по- вышенная нагрузка на сервер возникает так или иначе. Все такие приходящие за- просы анализируются по факту запроса или постфактум, на основе анализа журна- лов событий и обращений [2]. При этом анализу можно не подвергать всю имею- щуюся базу логов, а достаточен анализ за некоторое последнее время (последние несколько часов или дней максимум, поскольку более длительными атаки обычно не бывают). Этого более чем достаточно, чтобы выявить несуществующие адреса, по которым осуществляются запросы, и, в случае достаточно постоянного списка, можно разместить действительные простые веб-страницы, являющиеся заглушка- ми, по данным адресам. Это действие приведёт к тому, что удастся перевести часть запросов из раз- ряда запросов, генерирующих страницы с кодами ошибок и вызывающих повы- шенную нагрузку на сервер, в разряд запросов, которые фактически вызывают теперь уже действительные страницы с минимальной нагрузкой на сервер. Про- цесс размещения страниц-заглушек также может быть отдан на исполнение систе- ме обработки недействительных запросов. Однако использование данного подхода, как и использование других, сочета- ет как положительные стороны, так и некоторые моменты, по которым могут воз- никнуть вопросы. Первым вопросом является загромождение структуры сайта, которое может быть вызвано подобными заглушками. Фактически, автоматизированная подста- новка страниц-заглушек в различных разделах сайта может решить проблему на- грузки, но при этом породить огромное количество одинаковых страниц во всех директориях сайта. Эта ситуация может затруднять как управление сайтом (или его модификацию), так и своевременную подчистку заглушек, потерявших акту- альность. Кроме того, наличие множества мелких записей (коими будут являться подобные образования) может, опять же, снижать производительность системы, поскольку файловая система будет вынуждена обрабатывать множество записей. Решением данного вопроса может быть использование такого инструмента веб- сервера IIS, как виртуальный каталог. Таким образом, удастся собрать все заглуш- ки в едином месте хранения, отделив их от действительно функциональной части веб-ресурса. Вопрос подчистки потерявших актуальность файлов также становит- ся легче решить, например, отслеживая даты последних обращений к тем или иным файлам и удаляя потерявшие актуальность. Вторым вопросом является борьба со случайными срабатываниями, когда ошибка – действительно непреднамеренная ошибка, а не атака. Для борьбы с та- кой проблемой можно просто использовать механизмы определения частоты со- бытия. Если частота обращений не достигает за определённый временной интер- вал некоего установленного лимита, то и создания страницы не происходит.

147 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Третьим вопросом является ситуация, когда нагрузка создаётся запросами, которые не повторяют обращений к одним и тем же несуществующим страницам, либо количества обращений и запросов к страницам недостаточно, чтобы преодо- леть минимально необходимый лимит. В таком случае на автоматизированную систему можно возложить функцию анализа взаимосвязи ошибочных запросов и отправителя [3]. Простейшим случаем будет блокировка запросов с определённых адресов, от которых пришло достаточно весомое количество ошибочных запросов за некий промежуток времени. Реализация динамической блокировки в начале атаки и снятие блокировки после в данном случае не является сложной задачей, поскольку автоматизирован- ная система может просто обновлять конфигурации межсетевых экранов в части блокировок. Ситуация отличается от предыдущей с использованием межсетевых экранов тем, последним нет необходимости держать в конфигурациях всю базу актуальных адресов, а лишь достаточно адресов, подвергающихся блокировке. Таким образом, применяя комплекс перечисленных мер, есть возможность сократить нагрузку от специально сгенерированных ошибочных запросов на зна- чительную величину (касательно тестового сервера, использовавшегося для иссле- дования, сокращение нагрузки при реализации подобной схемы защиты в идеаль- ных условиях составило бы до 9 %, т.е. более чем на половину).

БИБЛИОГРАФИЧЕСКИЙ СПИСОК. 1. Максимов А.М., Тищенко Е.Н. Особенности использования носителей информации в защищённых информационных системах // Известия ЮФУ. Технические науки. – 2011. – № 12 (125). – C. 238-244. 2. Ciesielski V., Anand L. Data mining of web access logs from an academic web site. Design and application of hybrid intelligent systems // IOS Press Amsterdam. – 2003. – C. 1034-1043. 3. Тищенко Е.Н., Шарыпова Т.Н. Формализация выбора различных вариантов системы защиты информации от несанкционированного доступа в среде электронного докумен- тооборота // Вестник Ростовского государственного экономического университета (РИНХ). – 2010. – № 32. – C. 226-233. Статью рекомендовал к опубликованию д.т.н., профессор П.Н. Башлы. Максимов Алексей Михайлович – Ростовский Государственный Экономический Универ- ситет (РИНХ); e-mail: [email protected]; 344002, г. Ростов-на-Дону, ул. Б. Садовая, 69, к. 211, 306а; тел.: 88632613858; аспирант. Maximov Alexey Mikhailovich – Rostov State University of Economics; e-mail: [email protected]; 69, B. Sadovaya streeet, room 211, 306a, Rostov-on-Don; 344002, Rus- sia; phone: +78632613858; postgraduate student.

УДК 004.054

А.Г. Богораз, О.Ю. Пескова МЕТОДИКА ТЕСТИРОВАНИЯ И ОЦЕНКИ МЕЖСЕТЕВЫХ ЭКРАНОВ*

Рассмотрены основные российские и зарубежные методики оценки защищенности информационных систем в приложении к анализу межсетевых экранов. Показана необхо- димость разработки методологии тестирования межсетевых экранов как на стендах, так и в реальной системе. Был выполнен анализ следующих методик тестирования инфор-

* Работа поддержана грантом РФФИ 13-07-00244-а.

148

Раздел II. Безопасность информационных систем и сетей

мационной безопасности организации: OSSTMM – The Open Source Security Testing Method- ology Manual, NIST Special Publications 800-115 Technical Guide to Information Security Test- ing and Assessment, ISSAF – Information System Security Assessment Framework. Также анали- зировались следующие методики проведения тестов на проникновение: методика Positive Technology, методика Digital Security, BSI – Study A Penetration Testing Model, PTES – Pene- tration Testing Execution Standard – Technical Guidelines.Описаны основные шаги методик, проведено их сравнение по различным показателям. Представлена авторская методика тестирования и оценки межсетевых экранов. Приведен перечень уязвимостей, которые могут быть обнаружены с помощью разработанной методики. Межсетевой экран; тестирование межсетевых экранов; тесты на прочность; пен- тестинг; методики тестирования информационной безопасности.

A.G. Bogoras, O.Yu. Peskova METHODOLOGY FOR TESTING AND ASSESSMENT OF FIREWALLS

In article the main Russian and foreign techniques of an assessment of security of information systems in the annex to the analysis of firewalls are considered. The necessity of developing the methodology of testing firewalls both in the laboratory and in the real system is shown. Analysis was performed for the following test methods for information security: OSSTMM – The Open Source Security Testing Methodology Manual, NIST Special Publications 800-115 Technical Guide to Information Security Testing and Assessment, ISSAF – Information System Security As- sessment Framework. In addition, we analyzed the following methods of penetration testing: methods of Positive Technology, technique Digital Security, BSI - Study A Penetration Testing Model, PTES – Penetration Testing Execution Standard – Technical Guidelines. The basic steps of techniques are described, comparison on various indicators is carried out them. The author's technique of testing and assessment of firewalls is presented. The list of vulnerabilities that can be found by means of the developed technique is provided. Firewall; firewall testing; pretesting; security assessment techniques. Введение. При современном уровне развития информационно-вычислительных сетей (и зачастую их главенствующей роли в технологической цепочке обработки ин- формации) вопросы обеспечения сетевой безопасности являются критически важными для работоспособности всей информационной системы. Одним из основных средств защиты от внешних воздействий являются межсетевые экраны (МЭ), предназначен- ные для контроля и фильтрации трафика, проходящего через них. Межсетевые экраны подразделяются на различные типы по своим функцио- нальным возможностям, поддерживаемым протоколам, видам фильтрации и так да- лее. Но вне зависимости от типа МЭ существует большое количество решений раз- личных производителей, и потребителю бывает трудно выбрать систему, наиболее адекватно и эффективно решающую задачи по защите конкретной сети от несанк- ционированного доступа. Информация о межсетевых экранах, доступная непосред- ственно от производителя, чаще всего представляет собой рекламу, преувеличи- вающую достоинства и скрывающую недостатки. Для осознанного выбора жела- тельно получить четкое (стандартизированное) описание качественных характери- стик продукта, его достоинств и недостатков, надежности и уязвимых мест. На данный момент не существует методологии, нацеленной именно на спе- циализированное тестирование межсетевых экранов. Для оценки качества МЭ приходится пользоваться более общими методиками. Классифицируем рассматриваемые методики по двум типам: методики тес- тирования информационной безопасности организации и методики проведения тестов на проникновение. Был выполнен анализ следующих методик тестирования информационной безопасности организации:

149 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

 OSSTMM – The Open Source Security Testing Methodology Manual;  NIST Special Publications 800-115 Technical Guide to Information Security Testing and Assessment;  ISSAF – Information System Security Assessment Framework. Также анализировались следующие методики проведения тестов на проник- новение:  методика Positive Technology;  методика Digital Security;  BSI – Study A Penetration Testing Model;  PTES – Penetration Testing Execution Standard – Technical Guidelines. 1. Российские методики анализа защищенности 1.1. Методика Positive Technology. Следует отметить, что российские мето- дики, по большей части, являются копиями зарубежных методик. Единственная методика, полностью разработанная в России – методика Positive Technology [1]. При планировании тестов определяются границы и режимы проведения тестов. Проведение тестов может быть как с уведомлением персонала объекта, так и без него. Тесты разбиваются на 2 фазы: внешнюю, при которой аудиторы работают с мини- мальными знаниями о системе, и их целью является «пробить периметр», и внутрен- нюю, когда периметр успешно «пробит», аудиторы начинают оценку защищенности сети, уже координируя свои действия с администраторами системы. В компании определены три вида тестов на проникновение: технологиче- ский, социотехнический, комплексный. Для оценки критичности обнаруженных уязвимостей используется методика Common Vulnerability Scoring System (CVSS), что позволяет использовать результаты тестирования на проникновение в качест- венных и количественных методиках анализа риска. Данную методику можно применять на этапе оценки продукта для возмож- ности использования на предприятии. 1.2. Методика Digital Security. Методика Digital Security – методика NSA INFOSEC, доработанная специалистами фирмы Digital Security [2], которая вклю- чает в себя этапы: 1. Утверждение с заказчиком режима тестирования. Определяется уровень информированности исполнителя о тестируемой системе и уровень информиро- ванности Заказчика о проведение теста на проникновение. 2. Подписание договора. 3. Выполнение теста на проникновение. В рамках теста на проникновение аудиторы проводят полный анализ всех деталей исследуемого объекта, выбирают подходящие сценарии атак, с учетом человеческого фактора, возможно, разраба- тывают уникальное для каждого конкретного случая программное обеспечение для попытки проникновения в информационную систему. Помимо технологических проверок в процессе внешнего теста на проникно- вение проводится тестирование возможности проникновения в информационную систему с использованием методик социальной. По результатам проведения тестирования на проникновение создается отчет, содержащий детальное описание проведенных работ, все выявленные уязвимости системы и способы их реализации. Отчет также содержит конкретные рекоменда- ции по устранению данных уязвимостей. Данную методику также можно применять на этапе оценки продукта для возможности использования на предприятии. 2. Зарубежные методики анализа защищенности 2.1. OSSTMM – The Open Source Security Testing Methodology Manual [3]. Является достаточно формализованным и хорошо структурированным докумен- том для тестирования сети. Документ имеет так называемую «Карту безопасно-

150

Раздел II. Безопасность информационных систем и сетей

сти» – визуальный показатель безопасности. На карте указываются основные об- ласти безопасности, которые включают в себя наборы элементов, которые должны быть протестированы на соответствие методике: 1. Информационная безопасность. 2. Тестирование процесса безопасности. 3. Тестирование технологии интернет-безопасности. 4. Тестирование безопасности каналов связи. 5. Тестирование безопасности беспроводных технологий. 6. Тестирование физической безопасности. В документе присутствует подпункт «Методология» / «Тестирование техноло- гии интернет-безопасности» / «Обзор сети» / «Тестирование МЭ», где перечислена ожидаемая информация, которую может получить взломщик в результате удачной атаки или отсутствия нужной функции у средства защиты. В методике указано, что МЭ должен обладать конкретными функциями и возможностями, и перечислено свыше 30 типов тестов для их контроля. Также описываются конкретные коррект- ные реакции сети на атаки и их наличие, например, измерение времени отклика на пакет или проверка наличия потерь пакетов на маршруте к цели. Минусами методики считается формализованность и отсутствие дополни- тельного описания к требованиям. Данную методику можно использовать как на этапе оценки продукта для возможности использования на предприятии, так и на этапе разработки для про- верки отдельных возможностей и функций. Также методику можно использовать как шаблон разработки, — какие стандартные функции должны обязательно при- сутствовать в конечном продукте. 2.2. NIST Special Publications 800-115 Technical Guide to Information Security Testing and Assessment [4], [5]. Создана и поддерживается подразделением NIST — CSRC, центром по компьютерной безопасности, объединяющий специалистов федеральных служб, университетов, крупнейших ИТ-компаний США. В документе присутствуют такие разделы как:  обзор тестирования и экспертизы безопасности;  обзор методов;  определение цели и техники анализа;  техники оценки уязвимостей цели;  планирование оценки безопасности;  выполнение оценки безопасности;  пост-тестовые мероприятия. В разделе «Техники оценки уязвимостей цели», в качестве одной из техник описываются Тесты на проникновение, а именно Фазы и Логистика тестов. По данному документу тесты на проникновение, в дополнение к стандартным их воз- можностям, можно применять для определения:  насколько хорошо система переносит реально существующие модели атак;  примерного уровня сложности, который необходимо преодолеть атакую- щему;  дополнительных мер противодействия, которые могли бы ослабить угрозы в адрес системы;  способности защищающего систему на обнаружение атак и обеспечение соответствующей реакции на них. Выделяются следующие фазы тестов на проникновение: 1. Планирование. На данном этапе определяются правила, утверждается и документируется управление, определяются тестируемые цели. Задается основа для успешного тестирования на проникновение.

151 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

2. Исследование. Данный этап включает в себя 2 части. Первая часть – старт тестирования и сохранение собираемой и сканируемой информации. Для идентификации потенциальных целей проводится определение сетевых портов и сервисов. Вторая часть – анализ уязвимостей. Производится сравнение сервисов, приложений, ОС сканируемого хоста c базами уязви- мостей (автоматический процесс для сканеров уязвимостей) и с собствен- ными знаниями аудитора об уязвимостях. Аудитор может использовать свои собственные базы – или открытые базы уязвимостей – для ручного определения уязвимостей. Ручная обработка позволяет выявить новые уязвимости, но существенно замедляет процесс. 3. Атака. Этап проверки ранее определенных уязвимостей путем их экс- плоитирования. Если атака удачна, то уязвимость проверяется и опреде- ляются меры понижения угроз безопасности. 4. Отчет. Производится во время 3 вышеописанных фаз. Во время фазы «Планирование» разрабатывается план оценки. Во время фаз «Исследова- ние» и «Атака» сохраняются лог-файлы и создаются периодические отче- ты для системных администраторов или менеджмента. В заключение тес- та, создается отчет, как правило, для описания уязвимостей, указания оце- нок рисков и представления указаний по смягчению обнаруженных недос- татков. В главе «Логистика тестов» описываются различные рекомендации по типам тестирования. Также существует отдельный документ, регулирующий методологию работы с МЭ – NIST SP 800–41 Guideline on Firewalls and Firewall Policy. В пункте «Тес- ты» документа приводится достаточно подробный список аспектов оценки МЭ Данную методику можно использовать как на этапе оценки продукта для возможности использования на предприятии, так и на этапе разработки для про- верки отдельных возможностей и функций. Также методику можно использовать как шаблон разработки — какие стандартные функции должны обязательно при- сутствовать в конечном продукте. 2.3. BSI – Study A Penetration Testing Model [6]. Разработан германским под- разделением «Federal Office for Information Security». В документе описывается проведение корректных испытаний системы на прочность. Подробно описываются не только сама методология тестов, но и необходимые требования, правовые ас- пекты применения методологии и процедуры, которые необходимо выполнить для успешного проведения тестов. Присутствуют такие разделы, как:  Введение и объекты обучения.  IT-безопасность и тесты на проникновение.  Классификация и объекты тестов на проникновение.  Правовые вопросы.  Общие требования.  Методология тестов на проникновение.  Выполнение тестов на проникновение. Согласно этому документу, существует 3 типа методов, с помощью которых можно нанести IT-системе вред или подготовить атаку: атаки через сеть, социаль- ная инженерия, обход физических мер безопасности. Определены 5 процедур, которые необходимо выполнить для проведения тестов на прочность:  поиск информации о целевой системе;  сканирование целевой системы на предмет наличия сервисов;  идентификация системы и приложений;

152

Раздел II. Безопасность информационных систем и сетей

 исследование уязвимостей;  эксплоитирование уязвимостей. Приводится классификация тестов на прочность и определены ее критерии. В приложениях содержатся описание ПО, которое можно использовать для тестиро- вания объектов, описанных в методике. Данную методику рекомендуется использовать для тестирования конечного продукта. Она является достаточно подробной и старается предусмотреть все ас- пекты тестов на прочность, как технические, организационные, так и правовые. 2.4. ISSAF – Information System Security Assessment Framework [7]. Разрабо- тан OISSG (Open Information Systems Security Group) для следующих инструмен- тов менеджмента и внутренних контрольных проверок: а) Оценка политик и процедур информационной безопасности организации для отчетности об их соответствии индустриальным IT-стандартам, применимым законам, а также нормативным требованиям; б) Выявление и оценка зависимости бизнеса от инфраструктуры IT-услуг; в) Проведение оценки уязвимостей и тестов на проникновение для выделения уязвимостей в системе, которые могут привести к потенциальным рискам инфор- мационных активов; г) Указание моделей оценки по доменам безопасности; 1) Нахождение и устранение неправильных конфигураций; 2) Идентификация и решение рисков, связанных с технологиями; 3) Идентификация и решение рисков, связанных с персоналом или бизнес– процессами; 4) Усиление существующих процессов и технологий; 5) Предоставление лучших практик и процедур для поддержки инициатив непрерывности бизнеса. Документ охватывает огромное количество вопросов, связанных с информа- ционной безопасностью. Присутствуют главы, описывающие оценку безопасности МЭ, роутеров, антивирусных систем и много другого. Также присутствует глава «Оценка безопасности МЭ», где описывается, ка- кие бывают МЭ, каким функциями они должны обладать и защиту от чего они не могут предоставить. Непосредственно методология включает в себя 4 этапа: 1. Определение МЭ. 2. Определение общих неправильных конфигураций. 3. Тестирование общих атак на МЭ. 4. Тестирование продукта по специфическим вопросам. Также в главе прилагается подробные рекомендации по тестированию. Опи- саны не только утилиты, которыми можно провести тестирование, но и указания по их использованию и какие реакции можно получить в результате тестирования с определенными параметрами. Данную методику рекомендуется применять для проверки конечного продук- та или проверки общей надежности сети. 2.5. PTES – Penetration Testing Execution Standard – Technical Guidelines [8]. Стандарт, разработанный для объединения как бизнес требований, так и возмож- ностей служб безопасности, и масштабирования тестов на проникновение. На пер- вом подготовительном этапе подробно рассматриваются устанавливаемые каналы коммуникаций, правила взаимодействия и контроля, конкретные способы реаги- рования и мониторинга инцидентов. Далее выделены следующие этапы: 1. Сбор информации.

153 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

2. Моделирование угроз. 3. Методы анализа уязвимостей. 4. Эксплоитация – обеспечение обхода контрмер и обнаружение наилучшего пути атаки. 5. Пост-эксплоитация – анализ инфраструктуры, последующее проникнове- ние в инфраструктуру, зачистка и живучесть. Определена структура отчетов, составляемых по результатам тестирования. 2.6. Результаты сравнения методик. В целом, результаты сравнения мето- дологий по фазам тестов на прочность можно проиллюстрировать следующей кар- той (рис. 1)

Рис. 1. Сравнение методологий по фазам тестов на прочность

4. Разработанная методика тестирования межсетевых экранов По результатам анализа данных методик была предложена авторская методи- ка тестирования, назначением которой является оценка уровня защиты, предостав- ляемой межсетевым экраном. Методика предназначена для стендового тестирова- ния, однако может использоваться для тестирования в рабочей системе заказчика. Методика состоит из следующих фаз: 1. Планирование. Эта фаза подразумевает активную работу с Заказчиком. Обсуждаются цели и условия предстоящего тестирования, подписываются документы и подтверждается эксплоитирование выявленных уязвимостей. 2. Подготовка. На данной фазе начинается подготовка набора ПО, необхо- димого для тестирования. Также производится сборка испытательного стенда и настройка тестовой среды под условия тестирования, определен- ные в фазе планирования. 3. Разведка. Данная фаза позволяет начать пассивные и активные исследова- ния тестируемого объекта. На этапе пассивных исследований производится поиск информации, которая может помочь в работе аудитора. Активный этап подразумевает начало скрытого исследования тестируемого МЭ.

154

Раздел II. Безопасность информационных систем и сетей

4. Анализ уязвимостей. С помощью этой фазы производится автоматиче- ское и ручное определение уязвимостей тестируемого МЭ. Производится классификация найденных уязвимостей, а также определяются потенци- альные риски системе при эксплоитировании этих уязвимостей. 5. Активное вторжение. Пятая фаза позволяет начать работу по эксплоити- рованию уязвимостей, выявленных в ходе фазы «4.Анализ уязвимостей», и определения их возможного использования для проникновения в целе- вую систему. 6. Поддержка и зачистка. После успешного вторжения в целевую систему, аудитор оставляет в системе скрытые закладки для дальнейшего облег- ченного проникновения в целевую систему. Также аудитор зачищает все следы своего пребывания для уменьшения возможности обнаружения сво- его успешного вторжения. 7. Отчет. Во время работы всех остальных фаз производится подробное до- кументирование всех шагов тестирования для составления максимально полного и детального отчета. Для корректного соблюдения процедуры тестирования необходимо соблюсти определенные требования, которые должны быть выполнены перед тестированием в обязательном порядке. Требования представлены в общем порядке для 2 типов тестирований: частная и независимая оценка продукта на стендовом оборудова- нии, и частная независимая оценка продукта в условиях среды Заказчика. Основ- ным отличием данных типов является возможность эмулировать фактически лю- бые условия работы среды в случае тестирования на стендовом оборудовании. В случае тестирования продукта на оборудовании Клиента, аудитор может быть жестко привязан к среде, и некоторые обязательные требования могут быть невы- полнимы вследствие обстоятельств. Методика подробно описывает основные и вспомогательные функции раз- личных уровней и классов (как для защиты сети, так и для собственной защиты), которыми должны обладать МЭ и которые должны оцениваться в ходе выполне- ния методики. С помощью разработанной методики можно обнаружить следующий пере- чень уязвимостей: 1. Недостатки конфигурирования. 2. Недостатки кода ядра. 3. Переполнение стека. 4. Недостаточная проверка ввода – многие приложения не проверяют ин- формацию, введенную пользователем, полностью. 5. Символьные ссылки – файлы, указывающие на другие файлы. 6. Атаки на дескриптор файла – Файловый дескриптор – неотрицательное целое число, используемое системой для отслеживания файлов, вместо от- слеживания их имен. Когда привилегированная программа предоставляет несоответствующий дескриптор файла, то этот файл – скомпроментиро- ванный. 7. Условие «гонки» – Условие, когда программа включилась в привилегиро- ванный режим, но еще не выключилась из него. Пользователь может вос- пользоваться этим моментом, для получения доступа к программе или процессу. 8. Некорректный доступ к файлам и каталогам.

155 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

БИБЛИОГРАФИЧЕСКИЙ СПИСОК 1. Positive Technologies – безопасность, консалтинг, compliance management [Электронный ресурс] // Positive Technologies [сайт]. URL: http://www.ptsecurity.ru/services/pen/ techno- logical (дата обращения 20.10.2013). 2. Digital Security: N1 в аудите безопасности [Электронный ресурс]. // Digital Security [сайт]. URL: http://dsec.ru/consult/test/#why (дата обращения 20.10.2013). 3. Herzog P. OSSTMM – The Open Source Security Testing Methodology Manual. – USA, New York, 13.12.2006. –129 p. URL: http://www.isecom.org/research/osstmm.html (дата обраще- ния: 20.10.2013). 4. Scarfone К., Hoffmann P. NIST Special Publications 800-41 Guidelines on Firewall and Fire- wall Policy. – USA, Gaithersburg, 09.2009. – 48 p. URL: http://csrc.nist.gov/publications/ nistpubs/800-41-Rev1/sp800-41-rev1.pdf (дата обращения 20.10.2013). 5. Scarfone К., Souppaya М., Cody А., Orebaugh А. NIST Special Publications 800-115 Tech- nical Guide to Information Security Testing and Assessment. – USA, Gaithersburg, 09.2008. – 80 p. URL: http://csrc.nist.gov/publications/nistpubs/800-41-Rev1/sp800-41-rev1.pdf (дата обращения 20.10.2013). 6. BSI – Study A Penetration Tesing Model / Germany, Bonn. – 111 р. URL: https://www.bsi.bund.de/ SharedDocs/Downloads/EN/BSI/Publications/Studies/Penetration/penetration_pdf.pdf?__blob= publicationFile (дата обращения: 20.10.2013). 7. Rathore B. и др. ISSAF – Information System Security Assesment Framework. – 30.04.2006. – 1264 p. URL: http://www.oissg.org/issaf02/issaf0.1-5.pdf (дата обращения 20.10.2013). 8. Nickerson С. и др. The Penetration Testing Execution Standard. – 30.04.2012 [Электронный ре- сурс] // Penetration Testing Execution Standarts [сайт]. URL: http://www.pentest- standard.org/index.php/PTES_Technical_Guidelines (дата обращения 20.10.2013). Статью рекомендовал к опубликованию д.т.н., профессор Н.И. Витиска. Пескова Ольга Юрьевна – Федеральное государственное автономное образовательное учреждение высшего профессионального образования «Южный федеральный универси- тет»; e-mail [email protected]; 347922, г. Таганрог, ул. Чехова, 2; тел./факс: 88634371905; кафедра безопасности информационных технологий; к.т.н.; доцент. Богораз Антон Григорьевич – e-mail [email protected]; кафедра безопасности ин- формационных технологий; аспирант. Peskova Olga Yur’evna – Federal State-Owned Autonomy Educational Establishment of Higher Vocational Education “Southern Federal University”; e-mail [email protected]; 2, Chekhov street, Taganrog, 347922, Russia; phone/fax: +78634371905; the department of security in data processing technologies; cand. of eng. sc.; associate professor. Bogoras Anton Grigor’evich – e-mail bogoraz.ag @ gmail.com; the department of security in data processing technologies; postgraduate student.

156

Раздел II. Безопасность информационных систем и сетей

УДК 004.056.5 004.89

А.А. Бешта АРХИТЕКТУРА ПРОГРАММНОГО КОМПЛЕКСА КОНТРОЛЯ НАД ВНУТРЕННИМ ЗЛОУМЫШЛЕННИКОМ*

Целью данного исследования является разработка архитектуры программного ком- плекса контроля над внутренним злоумышленником на основе механизма оценки доверия. В рамках данного исследования была показана методика оценки доверия к субъекту на ос- нове разработанной (ε; θ)-доверительная модель субъекта. Показано сравнение разрабо- танной модели оценки доверия с существующими моделями и выделены ее преимущества. Показана архитектура программного комплекса и предложен набор агентов для реализа- ции разработанной модели оценки доверия. Показаны архитектуры агентов, входящих в программный комплекс. Показана схема взаимодействия между агентами и типы переда- ваемой информации. Внутренний злоумышленник; программный агент; оценка доверия; событие инфор- мационной системы.

A.A. Beshta ARHITECRURE OF INSADERS CONTROL SOFTWARE DEVELOPMENT

The purpose of the research is development of architecture of control over insiders software based on object confidence evaluation approach. In this research the method of confidence evaluation based on (ε; θ)-object confidence was proposed. Developed model was compared with existing models and its advantages were shown. The set of software agent is proposed. Architecture of different agents type and interaction between agents were shown. Insider; software agent; confidence evaluation; information system event. В настоящее время при обеспечении безопасности информационных систем организации основная задача заключается в защите внешнего периметра и обна- ружении вторжений из-за пределов организации. При этом внутреннему зло- умышленнику уделяется меньшее внимание. Обычно используются средства пре- дотвращения утечек информации во внешние сети и контроль съемных устройств. Возможность анализировать самого пользователя и делать вывод о том, что его действия могут быть злоумышленными. Одним из эффективных подходов являет- ся использования механизмов оценки доверия к субъектам. Этот подход предпола- гает, что субъекту, на основе его действий, ставится некоторый уровень доверия, который означает, что наблюдаемый субъект не является источником злоумыш- ленного воздействия на информационную систему. Этот вопрос активно исследу- ется в зарубежных работах, но в отечественных исследованиях практически не рассматривается. В данной статье предлагается архитектура программного ком- плекса системы контроля над внутренним злоумышленником на основе механизма оценки доверия к субъектам. Прежде чем рассматривать архитектуру программного комплекса необходи- мо рассмотреть саму модель оценки доверия, которая лежит в его основе. ~ T Оценка уровня доверия ~ к субъекту определяется из количества ис- B T Ei Ei ходящих сигналов        противоположной направленности с разной степенью значимости:   – сигнал положительной направленности и   – сиг-

* Работа выполнена при поддержке гранта РФФИ и Волгоградской области (№ 13-07-97040).

157 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

нал отрицательной направленности. Сигналом отрицательной направленности (от- рицательным сигналом) является обнаруженное в системе событие, указывающее на то, что субъект попытался выполнить или выполнил некоторое запрещенное воздействие. Сигналом положительной направленности (положительным сигна- лом) является отсутствие запрещенных воздействий на некотором интервале на- блюдения за субъектом T. Одним из возможных источников сигналов могут быть события информационной системы, связанные с деятельностью пользователя (подробнее в [1]). Кроме того, можно выделить следующие требования к значению доверия:  для нового объекта всегда начинается с минимального значения и не мо- жет быть выше доверия существующего объекта;  ограничено сверху;  зависит от полученных сигналов и обновляется после каждой оценки;  увеличение доверия объекта, уже имеющего высокое значение, намного меньше, чем для объекта с низким доверием. Для оценки доверия используется (ε; θ)-доверительная модель объекта, кото- рая выглядит следующим образом (более подробно в работах [2, 3]):      ,;   2 B   (1) ET    ; i    0,  .

где       ; ε – коэффициент достаточности; θ – коэффициент критичности. Функция (1) имеет следующие управляющие параметры, которые позволяют подобрать коэффициенты модели ε и θ для различных типов субъектов:         – значение  , при котором можно говорить о доверии к субъ-

~ екту B T  0 ; Ei  , при   0; – значение  , при котором достигается се-    2 2       , при   0,

редина уровня доверия ~ . B T 1 2 Ei В общем случае снижение уровня доверия при любом    стремится к

величине , а величина уровня доверия ~ не превосходит  . / B T B  1 Ei max  2 T  T Тогда критерий  для оценки доверия можно выбрать из условия:    B  . (2) max  Из этого выражения получены критерии, позволяющие обнаружить различ- ное количество отрицательных сигналов за наблюдаемый период (табл. 1). Среди существующих моделей оценки доверия (подробно описаны в [4]), ко- торые могут быть использованы для решения поставленной задачи, можно выде- лить модели, основанные на Байесовом подходе, модель Josang и модель средних.

158

Раздел II. Безопасность информационных систем и сетей

Таблица 1 Критерии оценки β для различных параметров модели   T 40 80 120 160 400 2 0,65 0,86 0,92 0,95 0,98 3 0,5 0,79 0,87 0,91 0,96 4 0,3 0,69 0,80 0,86 0,94 5 0,05 0,57 0,72 0,79 0,92 6 0 0,42 0,62 0,72 0,89 Разработанная модель соответствует требованиям, предъявляемым к моделям данного типа, а в сравнении с существующими моделями обладает следующими преимуществами:  требует существенно меньшее количество отрицательных сигналов (рис. 1);

Рис. 1. Сравнение моделей оценки доверия

 имеет временное окно для расчета доверия и учитывает возможность из- менения поведения объекта. На рис. 1 у разработанной модели наблюдается снижение уровня доверия при получении отрицательных сигналов, что позволяет установить критерий для оцен- ки доверия. Алгоритм оценки доверия к субъектам состоит из следующих шагов: 1. Определение субъекта оценки. 2. Определение источника сигналов   и   . 3. Определение интервала наблюдения Т, коэффициентов ε и θ, вычисление управляющих параметров  и  . 4. Выбор критерия  , позволяющего обнаружить заданное количество от- рицательных сигналов.

159 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

  ~ 5. Получение сигналов  и  , вычисление B T . Ei 6. Если значение доверия меньше  , то субъект является злоумышленником. 7. Повторение шага 6 до тех пор, пока не потребуется корректировка пара- метров модели. 8. Если необходима корректировка параметров модели, перейти к шагу 3. Для реализации данного алгоритма был разработан программный комплекс, архитектура которого представленная в виде многоагентной системы и состоит из шести типов агентов: S AAAAAAA K,,,,, M SM B SA A , (3)

где AK – агент координатор; AM – агент мониторинга; ASM – агент специализи-

рованного мониторинга; AB – агент оценки доверия; ASA – агент анализа защи-

щенности; AA – агент адаптации. Для организации взаимодействия между отдельными агентами для достиже- ния цели была предложена схема обмена информацией между агентами (рис. 2), которая учитывает возможность установки параметров оценки для различных субъектов и получение сигналов из различных источников.

Рис. 2. Схема взаимодействие агентов

Были разработаны архитектуры всех типов агентов и определены основные этапы работы. На рис. 3 представлена архитектура агента основного агента – мо- ниторинга, показаны отдельные модули, блоки, из которых они состоят, и связи между ними.

160

Раздел II. Безопасность информационных систем и сетей

Рис. 3. Архитектура агента мониторинга

Архитектура включает следующие модули:  модуль взаимодействия с пользователем – позволяет пользователю зада- вать параметры работы агента;  модуль управления – обеспечивает взаимодействие всех модулей агента;  модуль хранения информации – позволяет сохранять и получать инфор- мацию об объектах системы, хранит параметры работы агента;  модуль сбора информации – реализует получение из определенных источ- ников сигналов от объектов; модуль позволяет подключаться к некоторо- му количеству источников, обнаруживать появление сигналов и переда- вать их модулю оценки;  модуль оценки – производит оценку уровня доверия к субъектам;  модуль взаимодействия – позволяет агенту взаимодействовать с другими агентами по заданному протоколу для обмена информацией или управ- ляющими воздействиями (позволяет сообщать результаты оценки уровня доверия к субъекту другим агентам). Архитектура агента специализированного мониторинга показана на рис. 4. Отличие от агента мониторинга заключается в отсутствии блока оценки.

161 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Рис. 4. Архитектура агента специализированного мониторинга

Архитектура агентов оценки доверия, анализа защищенности и адаптации показана на рис. 5. В архитектуре такого типа отсутствует модуль сбора информа- ции, а модуль оценки имеет прямую связь с модулем хранения информации.

Рис. 5. Архитектура агентов других типов

162

Раздел II. Безопасность информационных систем и сетей

Отличие заключается в модуле оценки и в модуле работы с базами данных. У агентов оценки доверия и анализа защищенности модуль оценки содержит только блок агрегирования, который ведет перечень объектов, анализирует полученные от различных агентов мониторинга оценки и сохраняет их в базу, вычисляет обобщенную оценку объектов для АИС и распространяет эти оценки среди агентов мониторинга. Модуль хранения информации содержит дополнительно блок хранения оценок. У агента адаптации (подробнее в [5]) модуль оценки содержит только блок адаптации, а вместо блока оценок к модуле хранения информации находится блок параметров. Таким образом, архитектура программного комплекса состоит из совокупно- сти программных агентов. Предложенная модель оценки доверия к субъектам раз- делена на подзадачи, которые выполняются различными типами агентов. Предло- женные архитектуры программных агентов позволяют учесть указанные возмож- ности для реализации алгоритма контроля над внутренним злоумышленником и использовать в качестве критерия обнаружения предложенную модель оценки до- верия к субъектам информационной системы.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК 1. Бешта А.А., Новикова Ю.В. Способ численной оценки состояния автоматизированной ин- формационной системы // Научно- технический вестник Поволжья. – 2013. – № 2. – С. 89-92. 2. Бешта А.А. Архитектура агента контроля над внутренним злоумышленником на основе механизма оценки доверия // Известия ЮФУ. Технические науки. – 2012. – № 12 (137). – С. 104-110. 3. Бешта А.А., Кирпо М.А. Построение модели доверия к объектам автоматизированной информационной системы для предотвращения деструктивных воздействий на систему // Известия Томского политехнического университета. Управление, вычислительная техника и информатика. – 2013. – Т. 322, № 5. – С. 104-108. 4. Губанов Д.А. Обзор онлайновых систем репутации / доверия. – М.: ИПУ РАН, 2009. Интер- нет-конференция по проблемам управления. – 25 с. – Режим доступа: http://ubs.mtas.ru/bitrix/ components/ bitrix/forum.interface/ show_file.php?fid=1671. 5. Бешта А.А. Многоагентная эволюционирующая система как средство контроля над внутренним злоумышленником // Вестник волгоградского государственного универси- тета. Серия 10. Инновационная деятельность. – 2012. – Вып. 6. – С. 93-97. Статью рекомендовал к опубликованию д.т.н., профессор Л.К. Бабенко. Бешта Александр Александрович – Волгоградский государственный университет; e-mail: [email protected]; 400062, г. Волгоград, пр-т Университетский, 100; тел.: 88442460368; кафедра информационной безопасности; ассистент. Beshta Alexander Alexandrovich – Volgograd State University; e-mail: [email protected]; 100, Ave University, Volgograd, 400062, Russia; phone: +78442460368; the department of information security; assistant.

УДК 004.492

Л.К. Бабенко, А.С. Кириллов МОДЕЛИ ОБРАЗЦОВ ВПО НА ОСНОВЕ ИСПОЛЬЗУЕМЫХ СИСТЕМНЫХ ФУНКЦИЙ И СПОСОБОВ ПОЛУЧЕНИЯ ИХ АДРЕСОВ

Рассматриваются вопросы построения модели вредоносного программного обеспе- чения (ВПО), ориентированной на включение в структуру образцов не только информации о конкретных системных функциях, но и способах получения их адресов. Такая модель мо- жет быть использована для эффективного обнаружения и классификации неизвестных ра-

163 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

нее экземпляров ВПО и в отличие от более традиционных будет более гибкой, устойчивой к изменениям, и не зависимой от упакованности и зашифрованности образца ВПО. В работе приведено описание современных методов динамического анализа ВПО и выделены недос- татки и ограничения существующих методов, по отношению к предлагаемой модели. Также было приведено описание разработанной системы сбора информации об образцах ВПО, опи- саны критерии для построения подобной системы и технологии используемые при ее реали- зации и в частности реализации системы перехвата выбранных функций. Вредоносное программное обеспечение; модель; динамический анализ; системные функции.

L.K. Babenko, A.S. Kirillov MODEL OF MALWARE BASED ON SYSTEM FUNCTION AND METHOD OF IT IMPORTING

This article describes features of building malware model, which includes information of calling function and method of it importing. This model can be used to effectively detect and clas- sify unknown malware, unlike more traditional models, this model will be more flexible, resistant to change, and not dependent on the packed and protected malware samples.This paper describes modern methods of dynamic malware analysis and highlights flaws and limitations of existing methods in relation to proposed model. Also, described developed system that collecting information about malware samples, described the criteria for constructing such systems and technologies used for implementation, in particular of the function interception system. Malware; model; dynamic analysis; system functions. Обнаружение неизвестного ранее вредоносного программного обеспечения является важнейшей задачей, по причине уверенного роста рынка киберпреступ- лений, согласно отчету [1] количество экземпляров вредоносного программного обеспечения (ВПО), обнаруженного в течение месяца в 2013 г., выросло в 3 раза по отношению к цифре 2008 г. Киберпреступность выходит на все более новый уровень, на сегодняшний день, пожалуй, наиболее часто появляются в новостях заголовки о распространении очередного банковского трояна. При этом, на ряду с киберпреступностью, вредоносное программе обеспечение стали использовать для саботажа объектов энергетической инфраструктуры некоторых стран [2]. И, несо- мненно, исследователи и исследовательские группы многих стран работают над разработкой инновационных методов обнаружения ранее не известных образцов ВПО. И каждый автор предлагает совершенно различные техники позволяющие решить эту задачу, их описание а также достоинства и недостатки приведены в [3]. В данной работе рассматриваются вопросы построения модели ВПО, ориен- тированной на включение в структуру образцов не только информацию о конкрет- ных системных функциях, но и способах получения их адресов. Такая модель мо- жет быть использована для эффективного обнаружения и классификации неиз- вестных ранее экземпляров ВПО. Исходя из поставленной цели, можно выделить следующие задачи: 1. Выделить системные функции анализ вызовов которых будет производится. 2. Разработать правила ранжирования для функций и способов получения их адресов согласно приведенному ниже методу. 3. Разработать и реализовать систему сбора информации об исследуемом об- разце. 4. Разработать и реализовать аппарат для выполнения сбора необходимой информации в процессе выполнения исследуемого образца. 5. Осуществить сбор статистических данных на тестовой выборке ВПО и ле- гитимного ПО.

164

Раздел II. Безопасность информационных систем и сетей

6. Разработать математическую модель на основе полученных статистиче- ских данных. 7. Проверить работоспособность модели путем проведения эксперименталь- ных исследований на случайной выборке. В качестве системных в работе рассматриваются функции Windows API и Windows Native API. Данные функции позволяют программе работать с различ- ными ресурсами, предоставляемыми ОС. Для ОС Windows можно выделить несколько способов получения адресов функций API: 1. Получение адресов на этапе сборки программы, то есть компоновщик са- мостоятельно определяет какие сигнатуры в коде программы соответст- вуют системным функциям и присваивает им соответствующие адреса, при этом данные о таких функциях всегда заносятся в таблицу импорта исполнимого файла. 2. Получение адресов путем вызова системной функции GetProcAddress, ко- торая позволяет получить адрес указанной функции, основываясь на:  текстовом представлении имени функции;  порядковом номере функции в таблице экспорта загруженной биб- лиотеки. 3. Получение адресов системных вызовов путем ручного разбора памяти процесса с поиском подходящей таблицы экспорта, с последующим полу- чением из нее адреса нужной функции. При этом необходимо учитывать, что авторы вредоносного программного обес- печения, пытаются скрыть истинный список используемых ими системных функций, затрудняя анализ [4], потому как в противном случае, техники аналогичные [5] спо- собны обнаружить вредоносное программное обеспечение в процессе статического анализа. Для 2 пункта при текстовом представлении имени функции такой способ им- порта является вполне стандартным, однако, как было сказано выше, вирусописатели пытаются скрыть факт импорта той или иной функции. Для того, чтобы достичь этой цели, часто прибегают к шифрованию имен функций, расшифровывая их только по мере надобности (перед использованием функции GetProcAddress), то есть в коде про- граммы данные строки всегда находятся в зашифрованном виде. Тогда как для леги- тимных программ такие техники просто не нужны, и имена всех импортируемых функций присутствуют в теле программы в открытом виде. Что касается импорта по ординалу, это также достаточно редкое явление, основным недостатком которого яв- ляется возможность изменения порядка следования функции в таблице экспорта PE файла от версии к версии, тем самым лишая ПО переносимости на различные редак- ции и версии ОС Windows. 3 пункт приведенного списка стоит упомянуть отдельно, потому как для любого легитимного ПО использование подобной техники только за- трудняет работу и повышает сложность разработки, кроме того согласно [5] данный способ позволяет существенно затруднить анализ образца ВПО, причем как статиче- ский, так и динамический. Перейдем к рассмотрению указанных в данной работе задач. Выбор системных функций анализ вызовов которых будет производится, разработать правила ранжирования для функций и способов получения их адресов. Согласно списку приведенному компанией Microsoft [6] количество доступ- ных функций Windows API (без учета функций Native API) превышает цифру в несколько тысяч. Обработка такого набора функций является весьма не тривиаль- ной задачей и рассмотрение ее актуально.

165 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Совокупность потенциально опасных функций, выбирается, основываясь на предшествующих исследованиях в данной области, а также на анализе исходных текстов публично доступных вирусов. Эта совокупность следующая.  фиксация в среде;  запуск полезной нагрузки:  взаимодействие с командным центром. Под фиксацией в среде запуска подразумевается тот способ, которым осуще- ствляется повторный запуск образца ВПО в системе, например, после перезагруз- ки компьютера. Данный тип функциональных возможностей включает в себя все функции которые могут обеспечить или формировать инфраструктуру для повтор- ного запуска экземпляра ВПО. Что касается запуска полезной нагрузки, то в со- ответствующую группу войдут функции, обеспечивающие запуск тела экземпляра ВПО, например это функции создания удаленных потоков, модификации памяти процесса, функции запуска исполнимых файлов и пр. Функции, вошедшие в груп- пу обеспечивающих взаимодействие с командным центром, в большинстве своем являются функциями работы с сетью. В процессе анализа как статического (извлечения данных об используемых функциях), так и динамического (получения списка функций используемых фак- тически) формируется список функций, характеризующий исполнимый файл. По- лученный список функций ранжируется согласно степени потенциальной вредо- носности и частоты использования. Как правило значения выбираются в диапазоне от 1 до 9, где 1 – соответствует минимальной степени опасности, 9 – максималь- ной степени опасности. В соответствии с данными о способе получения адреса системного вызова для каждой функции выбирается коэффициент, значение которого отражает сте- пень потенциальной опасности в связи с используемым способом получения адре- са на функцию, данный коэффициент может быть выбран в диапазоне от 1 до 4, в соответствии с описанными выше способами импорта. Выполнив соответствующие подсчеты для всех функций, используемых ис- следуемым образцом и всех полученных данных, определяется факт вредоносно- сти образца, тип и семейство угроз. Разработка и реализация системы сбора информации об исследуемом об- разце. При разработки архитектуры системы сбора информации об исследуемом образце учитывались такие моменты как: 1. Минимизация влияния на процесс в который выполнено внедрение ком- понента сбора требуемой информации. 2. Требование высокой производительности системы для максимально быст- рой передачи информации о вызванной функции. 3. Мультисессионность работы системы. Важность данных критериев обусловлена теми фактами, что со стороны вре- доносного ПО применяются техники определения того факта что процесс иссле- дуемого исполнимого файла находится во враждебной для него среде, т.е. иссле- довании, в том числе одной из такой техник является замер времени выполнения той или иной функции и сверка времени ее выполнения с контрольным значением. Важность второго критерия обусловлена тем фактом что при низкой производи- тельность системы вывода информации может быть оказано влияние на исследуе- мый процесс, также процесс может экстренно завершится, что приведет к потери части данных. Важность мультессионности обусловлена возможностью распреде- ления анализа экземпляров ВПО, тк анализ одного экземпляра занимает достаточ- но продолжительное время. При реализации мультисессионности очень важно на- ладить работу с множеством сред для анализа, на начальном этапе, множество

166

Раздел II. Безопасность информационных систем и сетей

сред для анализа будет обеспечиваться за счет виртуальных машин на базе XEN и за счет предоставляемого им программного интерфейса будет реализовано управ- ление системой снимков ОС, для быстрого возврата ОС в первоначальное состоя- ние, тк исследуемый образец может произвести существенные изменения в среде, которые могут нарушить ее работу или повлиять на ход анализа следующего об- разца. Ключевой частью системы является перехват выбранных функций, который, может быть осуществлен с использованием 2-х различных типов перехвата [7]: 1. Перехват путем физической модификации исполнимого файла. 2. Перехват путем модификации памяти загруженного образа. Перехват путем физической модификации исполнимого файла. Данный метод заключается в модификации бинарного кода исполнимого файла и замены нужных байт на команду перехода, вставке дополнительных инструкций, замене тела функции, также данный тип включает модификацию таблицы импорта и ис- пользование библиотек оберток, которые имеют тот же набор функций что и ори- гинальная библиотека, но перед выполнением функций оригинальной библиотеки осуществляют требуемые действия. Перехват путем модификации памяти загруженного образа. Данный ме- тод предполагает замену первых байт целевой функции на команду перехода, ко- торая направляет поток управления на функцию-перехватчик, которая, по завер- шении работы возвращает управление перехватываемой функции. В ОС Windows реализован механизм общего пользования библиотеками, который заключается в том, что если библиотека единожды загружена в память, то при следующей по- пытке ее загрузить она будет спроецирована в адресное пространство процесса, такой механизм позволяет экономить оперативную память. Особенность заключа- ется в том что модификации такого образа действительна только в рамках текуще- го процесса. Таким образом, данный метод может быть реализован локально в пределах нужного процесса, либо путем модификации первоначального образа библиотеки, перехват функций которой требуется выполнить. Из всех вышеописанных методов, наиболее подходящим методом для осуще- ствления перехвата функций является метод модификации образа памяти требуе- мой библиотеки в пределах нужного процесса, тк данный метод позволяет осуще- ствлять получение данных только от нужного процесса, не требует достаточно высоких прав в системе для его реализации, не нарушает целостность исследуемо- го исполнимого файла. Рассмотрим данный метод применительно к ОС Windows подробнее. Описание реализации данного метода применительно к ОС Windows, а также описание библиотеки для его реализации даны в [8]. На рис. 1 схематично показа- на разница между потоком выполнения без перехвата и с перехватом. Ядро метода заключается в замене 5 первых байт так называемого пролога функции на команду перехода, переводящую указатель текущей команды на тре- буемый адрес, тем самым заставляя выполнить заданный код, после выполнения заданного кода, выполняются 5 байт кода пролога и происходит переход на ко- манду, следующую за первой командой перехода. В соответствии с приведенными критериями была разработана и реализована система сбора информации о вызовах системных функций на основе клиент- серверной архитектуры. Схематическое изображение всех компонент системы по- казано на рис. 2.

167 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Рис. 1. Схематическое изображения потока управления при вызове функции без перехвата и с перехватом

Рис. 2. Общий вид системы сбора информации о вызовах системных функций

Клиентская часть, реализована во внедряемой в исследуемый процесс испол- нимого файла библиотеке. Данная библиотека состоит из следующих модулей: 1. Модуль перехвата требуемых функций. 2. Модуль сбора и формирования информации о вызванных функциях. 3. Модуль передачи собранной информации серверной части.

168

Раздел II. Безопасность информационных систем и сетей

Кратко рассмотрим каждый модуль клиентской части. Модуль перехвата системных функций. Данный модуль реализован на базе библиотеки Microsoft Detours, предоставляющий удобный интерфейс для перехва- та нужной функции, причем как функции Windows API, так и других методом ло- кального сплайсинга, который описан выше. Так же в библиотеке Microsoft De- tours реализованы функции запуска указанного процесса с внедрением в него ука- занной библиотеки. Задача данного модуля состоит в осуществлении перехвата указанных функций в указанном процессе и его потомках. Важным моментом яв- ляется перехват функций в процессах-потомках и процессах в которые было про- изведено внедрение кода: требуется перехватывать не все процессы-потомки, а только те в которых может быть произведено внедрение кода анализируемого ис- полняемого файла, в противном случае, будет получено много паразитных данных, не относящихся к анализируемому исполняемому файлу. Для решения задачи вы- бора процессов-потомков для перехвата следует рассмотреть современные и попу- лярные техники внедрения кода в запускаемый или уже запущенный процесс. Со- гласно [9] современные техники внедрения кода можно разделить на техники вне- дрения кода на следующие типы: Техники внедрения кода в уже запущенный процесс. Для данных методов характерен поиск процесса для внедрения средствами ToolHelp API, PSAPI или функции QuerySystemInformation. После выбора процесса для внедрения требуется получить его описатель путем вызова функции OpenProcess с указанием при вызо- ве соответствующих прав, далее тем или иным способм выполняется модификация процесса и запуск дополнительного потока в его адресном пространстве. Таким образом, в данном методе ключевым является вызов OpenProcess. Техники внедрения кода в запускаемый процесс. Для данных техник ха- рактерен запуск процесса для внедрения путем вызова функции CreateProcess с флагом CREATE_SUSPENDED и дальнейшие манипуляции с адресным простран- ством процесса. Ключевым является вызов функции CreateProcess. Универсальные техники внедрения кода. Данные техника представлена техникой постановки оконных хуков путем вызова функции SetWindowsHookEx, данная функция выполняет регистрацию оконного хука, который позволяет к лю- бому приложению подгружать указанную библиотеку-обработчик установленного хука. Ключевым является вызов функции SetWindowsHookEx. В соответствии с приведенными техниками, тактика перехвата в процессах- потомках и процессах в который был внедрен код будет строится на основе разбо- ра параметров указанных функций и предварительной подготовке целевых про- цессов. Модуль сбора и формирования информации о вызванных функциях. Данный модуль предоставляет интерфейс для задания информации о вызванной функции и формирует структуру сообщения передаваемого на клиентскую часть. Передаваемое сообщение состоит из следующих полей:  имя вызванной функции;  код операции;  идентификатор процесса в котором произошел вызов;  идентификатор потока в котором произошел вызов;  время вызова. Данная информация упаковывается в C – структуру и передается посредст- вом именованного канала в следующий модуль – модуль передачи собранной ин- формации серверной части. Такая архитектура обусловлена тем, что требуется максимально быстро передать всю информацию о вызове и при этом не нарушить работу процесса в котором находится внедряемая библиотека.

169 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Модуль передачи собранной информации серверной части. Данный мо- дуль представляет из себя отдельный поток ОС выполняющийся в контексте про- цесса в который произошло внедрение, данный поток выполняет сбор данный пришедших через именованный канал, постановку их в очередь для отправки и отправку на серверную часть посредством UDP сокета. Протокол UDP так же вы- бран из соображений производительности и минимизации задержек на передачу информации. Серверная часть реализована в виде нескольких python скриптов. Первый из них выполняет запуск 2-х процессов, данные процессы выполняют следующие функции: 1. Прием информации от клиентской части и передачу в меж процессную очередь для обработки другим процессом. 2. Извлечение данных из межпроцессной очереди, разбор и запись в БД SQLITE c целью дальнейшего анализа. Таким образом, данный скрипт обеспечивает агрегацию информации о за- пуске одного исполняемого файла. Серверная часть представляет собой набор скриптов, один из которых вы- полняет прием данных о сеансе запуска исполняемого файла и помещает их в SQLITE базу, при этом, данный процесс выполняется в приделах одного процесса ОС, для минимизации влияния на другие сессии анализа образца. По завершении сессии каждый обработчик передается оперативные данных из SQLITE таблицы в БД на базе MYSQL которая хранит информацию о всех исполнимых файлах чей анализ был произведен.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК 1. Fortinet 2013 Cybercrime Report [Электронный ресурс] // URL: http://www.fortinet.com/ sites/default/files/whitepapers/Cybercrime_Report.pdf (дата обращения: 23.05.2013). 2. Stuxnet [Электронный ресурс] // Википедия, свободная энциклопедия. – 2013. URL: http://en.wikipedia.org/wiki/Stuxnet (дата обращения: 23.05.2013). 3. Бабенко Л.К., Кириллов А.С. Модели образцов вредоносного программного обеспечения на основе используемых системных функций и способов получения их адресов // Мате- риалы XIII Международной начно-практической конференции «ИБ-2013» Ч. 1. – Таган- рог: Изд-во ЮФУ, 2013. – C. 181-186. 4. Static Analysis vs Dynamic Imports – Part 1/3 (Technical Article) [Электронный ресурс] // Portcullis Computer Security. – 2013. URL: http://www.portcullis-security.com/static- analysis-vs-dynamic-imports-part-1-technical-article/ (дата обращения: 23.05.2013). 5. Patent US8161548 - Malware detection using pattern classification [Электронный ресурс] // Google Patents. – 2012. URL: http://www.google.com/patents/US8161548 (дата обраще- ния: 23.05.2013). 6. Windows API Sets (Windows) [Электронный ресурс] // Microsoft Windows Dev Center - Desktop. – 2012. URL: http://msdn.microsoft.com/en-us/library/windows/desktop/hh802935 (v=vs.85).aspx (дата обращения: 23.05.2013). 7. Hooking [Электронный ресурс] // Википедия, свободная энциклопедия. – 2013. URL: http://en.wikipedia.org/wiki/Hooking (дата обращения: 25.10.2013). 8. Hunt G., Brubacher D. Detours: Binary Interception of Win32 Functions // WINSYM'99 Pro- ceedings of the 3rd conference on USENIX Windows NT Symposium. – 1999. – Vol. 3. – C. 14-14. 9. Code Injection Techniques - InfoSec Institute [Электронный ресурс] // InfoSec Institute. – 2013. URL: http://resources.infosecinstitute.com/code-injection-techniques/ (дата обраще- ния: 25.10.2013). Статью рекомендовал к опубликованию д.т.н., профессор Я.Е. Ромм.

170

Раздел II. Безопасность информационных систем и сетей

Бабенко Людмила Климентьевна – Федеральное государственное автономное образова- тельное учреждение высшего профессионального образования «Южный федеральный уни- верситет»; e-mail: [email protected]; 347928, г. Таганрог, ул. Чехова, 2, корпус "И"; тел.: 88634312018; кафедра безопасности информационных технологий; профессор. Кириллов Алексей Сергеевич – e-mail: [email protected]; кафедра безопасности информационных технологий. Babenko Lyudmila Klimentevna – Federal State-Owned Autonomy Educational Establishment of Higher Vocational Education “Southern Federal University”; e-mail: [email protected]; Block “I”, 2, Chehov street, Taganrog, 347928, Russia; phone: +78634312018; the department of security of information technologies; professor. Kirillov Alexey Sergeevich – e-mail: [email protected]; the department of security of information technologies.

171 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Раздел III. Защита объектов информатизации

УДК 621.311

О.А. Финько, Е.П. Соколовский АЛГОРИТМ ОЦЕНКИ РИСКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СИСТЕМАХ ЗАЩИТЫ ИНФОРМАЦИИ НА ОСНОВЕ ЛОГИКО-ВЕРОЯТНОСТНОГО МЕТОДА И.А. РЯБИНИНА

Оценка рисков безопасности структурно-сложных систем, в том числе систем защи- ты информации, с использованием логико-вероятностного метода И.А. Рябинина основана на исследовании сценариев перехода систем в опасное состояние, реализованных монотон- ными булевыми функциями. Развитие путей практического использования логико- вероятностного метода затруднено сложностью автоматизации процесса получения арифметического полинома вероятностной функции перехода системы в опасное состояние, имеющей в сценарии перехода группы совместных и несовместных событий. В статье пред- ложен алгоритм построения и реализации арифметического полинома вероятностной функ- ции для сценария перехода системы защиты информации в опасное состояние с группами совместных и несовместных событий, основанный на фундаментальных положениях алгеб- ры логики, а именно методов построения и реализации числовых нормальных форм представ- ления булевых функций и теории вероятностей. Применение известных положений позволяет получить преимущества при автоматизации процессов оценки рисков информационной безо- пасности в ходе решения задач построения и вычисления арифметических полиномов веро- ятностных функций перехода систем защиты информации в опасное состояние. Логико-вероятностный метод; оценка риска, оценка систем защиты информации; чи- словая нормальная форма; реализация логических вычислений арифметическими полиномами.

O.A. Finko, E.P. Sokolovsky RISK ASSESSMENT INFORMATION SECURITY ALGORITHM IS BASED ON THE I. RYABININ LOGICAL-PROBABILISTIC METHOD

Assessment of risks of safety of structural and difficult systems, including information security systems, with logiko-probabilistic method use. I.A. Ryabinin it is based on research of scenar- ios of transition of systems in the dangerous condition, realized by monotonous Boolean functions. Development of ways of practical use of a logiko-probabilistic method is complicated by complexity of automation of process of receiving an arithmetic polynom of probabilistic function of transition of system in the dangerous condition, having in the scenario of transition of group of joint and not joint events. In article the algorithm of construction and realization of an arithmetic polynom of probabilistic function for the scenario of transition of system of information security in a dangerous condition with groups of the joint and not joint events, based on fundamental provisions of algebra of logic, namely methods of construction and realization of numerical normal forms of representation of Boolean functions and probability theory is offered. Application of known provisions allows to get advantages at automation of processes of an assessment of risks of information security during the solution of problems of construction and calculation of arithmetic polynoms of probabilistic functions of transition of systems of information security in a dangerous condition. Logiko-probabilistic method; risk assessment, assessment of systems of information security; numerical normal form; realization of logical calculations by arithmetic polynoms.

172

Раздел III. Защита объектов информатизации

Согласно [1] булеву функцию, связывающую состояние элементов с состоя- нием системы, будем называть функцией опасного состояния системы (ФОС). Под вероятностной функцией (ВФ) будем понимать вероятность истинности бу- левой функции: Pf (z ) 1 ,

где здесь и далее f():zz  z1 zn  , zz1,...,n  {0,1}. В общем виде алгоритм 1 оценки риска заключается в следующем [1]: Шаг 1. Экспертным путем строится сценарий перехода некоторой системы в опасное состояние, описываемый монотонной булевой функцией. Шаг 2. По правилам перехода из ФОС осуществляется получение арифмети- ческого полинома ВФ опасного состояния. Шаг 3. На основании полученного арифметического полинома ВФ опасного состояния производится оценка риска для системы (безопасности системы). В монографии [1] приведены основные приемы получения арифметического полинома ВФ перехода исследуемой системы в опасное состояние. В частности, один из алгоритмов основан на использовании теоремы сложения вероятностей совместных событий. В качестве событий рассматриваются кратчайшие пути опасного функционирования системы. Кратчайший путь опасного функционирования (КПОФ) представляет собой

такую конъюнкцию инициирующих условий (ИУ) zi , ни одну из компонент кото- рой нельзя изъять, не нарушив опасного функционирования системы [1]. Такую конъюнкцию можно записать в виде функции:

Fzli  , (1) iK Fl

K где F – множество номеров инициирующих условий, соответствующих данному l l-му КПОФ;  – символ многоместной конъюнкции. Очевидно, что КПОФ описывает один из возможных самостоятельных вари- антов попадания исследуемой системы в опасное состояние с помощью мини- мального набора ИУ абсолютно необходимых для его осуществления. Тогда арифметический полином ВФ перехода исследуемой системы в опасное состояние можно получить по формуле [1]: d  Pf (z ) 1  QPFc  l  PF ( i )  P(FF) i  j  l1   i i j (2) d 1 PFFFPFF(i  j  k )  ...  (  1) ( i  ...  d ), i j k где F – кратчайшие пути опасного функционирования; d – количество КПОФ. l В качестве примера рассмотрим сценарий перехода некоторой системы за- щиты информации (СЗИ) в опасное состояние (рис. 1). В соответствии с рис. 1 сценарий перехода в опасное состояние описывается ФОС: f(z ) (( z  z )  ( z  z ))  z z  1 2 2 3 3 4 (3) z1 z 2  z 1 z 3  z 2  z 2 z 3  z 3 z 4 , где здесь и далее z – булева переменная, обозначающая i-е ИУ и принимающая i значения:

173 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

zi  0 – при нахождении ИУ в безопасном состоянии,

zi 1 – в случае перехода ИУ в опасное состояние.

f31

ИЛИ

f21 f22

И И

f11 f12

ИЛИ ИЛИ

Z1 Z2 Z3 Z4

Рис. 1. Сценарий перехода СЗИ в опасное состояние

Запишем в соответствии с (1) КПОФ для сценария (рис. 1):

F1 z 2,,. F 2  z 1 z 3 F 3  z 3 z 4 (4) Подставляя (4) в (2) получим арифметический полином ВФ перехода СЗИ (рис. 1) в опасное состояние: d  Pf (z ) 1  QPcF  K  QQQQQQQQQQQ2  13  34  123  134  l1 i (5) 

QQQQQQQ2 3 4 1 2 3 4 ,

где здесь и далее Qi – значение вероятности перехода i-го элемента СЗИ (ИУ) в опасное состояние. Известны фундаментальные положения алгебры логики, согласно которым произвольная булева функция может быть однозначно представлена в:  алгебраической нормальной форме (полиномом Жегалкина) [2]: 21n  f()z  g () zii12  z  ...z,  in g  0,1 ;  in12 i   i0  числовой нормальной форме (ЧНФ) (арифметическим полиномом) [3]: 21n  ii12 in , P(z )  cin z12 z ... z i0 zi1, iu uu, zu   , ci – целое. 1,iu  0 Представление булевой функции в указанных взаимосвязанных формах мож- но получить из обычной таблицы истинности (табл. 1).

174

Раздел III. Защита объектов информатизации

Таблица 1 Обычная таблица истинности булевой функции  № набора z1,..., zn f (z) 0 000…0 Y (0) 1 000…1 Y (1)    n n 2 1 111…1 Y (2 1) В качестве примера построим таблицу истинности ФОС (3) (табл. 2). Таблица 2 Таблица истинности ФОС (3) №  № набо- z ,..., z f (z) набора 1 4 ра 0 0000 0 8 1000 0 1 0001 0 9 1001 0 2 0010 0 10 1010 1 3 0011 1 11 1011 1 4 0100 1 12 1100 1 5 0101 1 13 1101 1 6 0110 1 14 1110 1 7 0111 1 15 1111 1 Совершенная дизъюнктивная нормальная форма (3) на основании табл. 2 представляется в виде:

f()z  zzzz1234  zzzz 1234  zzzz 1234  zzzz 1234 

zzzz1234  zzzz 1234  zzzz 1234  zzzz 1234  (6)

zzzz1234  zzzz 1234  zzzz 1234. При помощи эквивалентного преобразования [2] z 1 z из (6) получим:

f()z  z2  zz 13  zz 34  zzz 123  zzz 134  (7) z2 z 3 z 4 z 1 z 2 z 3 z 4. Используя соотношения перехода от булевых функций к их представлению в ЧНФ [4, 5]: xxxx1212, xxxxxx 121212  , xxxx 1212  2 xx 12 , x  1 x из (7) получим представление ФОС (3) арифметическим полиномом ВФ:

PQQQQQQQQQQQQQQQQQQ()z 2  13  34  123  134  234  1234 , который совпадает с ранее полученным арифметическим полиномом (5). Известен [4, 5] матричный способ получения арифметического спектра коэф- фициентов ЧНФ с помощью прямого и обратного логического дискретного преобра- зования Фурье (ЛДПФ): CAY , (8) 2n 1 YAC n , 2

175 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

nn где A n – матрица прямого арифметического преобразования размерности 22 2 (базис преобразования); Y – вектор истинности булевой функции f ()z такой, что

n T Y   YYY(0) (1) (21 )  , (i) где T – символ транспонирования; Y – числовое значение, принимаемое буле- вой функцией f (z) на i-м наборе булевых аргументов обычной таблицы истинно- T сти (табл. 1); C  c c ... c – арифметический спектр ЧНФ.  01 21n   Матрица A 2n1 0 A n  , (9) 2 AA 22nn11 является n-кронекеровской степенью n AA , (10) 2n  1 j1

10 где A1  . 11 В соответствии с таблицей истинности (табл. 2): T Y  0001111100111111 ,   матрица A согласно (9), (10) примет вид: 24 1000000000000000 1100000000000000 1010000000000000 1111000000000000 1000100000000000 1100110000000000 1010101000000000 1111111100000000    A 4  2 1000000010000000 1100000011000000 1010000010100000 1 111000011110000   1000100010001000 1100110011001100    1010101010101010    1111111111111111       

Выполняя прямое ЛДПФ (8), получим арифметический спектр арифметиче- ского полинома ФОС (3): C 0001100  1001  100  11 . (11) Тогда ЧНФ примет вид (совпадает с (5)):

PQQQQQQQQQQQQQQQQQQ().z 2  13  34  123  134  234  1234

176

Раздел III. Защита объектов информатизации

При преобладании нулевых коэффициентов ЧНФ спектр C удобно представ- лять в виде [6]: C c ,i c ,i c ,i, j  2n  1, (12)  i0101  i  ij j  где c, c , , c  0 . i01 i i j С учетом (12) спектр (11) можно представить в виде: C  13,,-,,-,-,,  14  17  110  111  114  115 . Применение способов построения и реализации ЧНФ в логико- вероятностном методе И.А. Рябинина (ЛВМ) позволяет получить преимущества при автоматизации процессов построения и реализации арифметических полино- мов ВФ перехода исследуемой СЗИ в опасное состояние. Согласно [7] булева функция n переменных f () называется полностью оп- n ределенной, если ее значения fa(ii ) 0 или 1 заданы во всех 2 точках  i

области определения, ii (zz1 ,..., ) . Если же значения функции не задано хотя

бы в одной точке  i , то она называется неполностью определенной. В качестве примера рассмотрим сценарий перехода некоторой СЗИ в опасное состояние (рис. 2). f21

ИЛИ

f11

Z1 Z2 Z3

Рис. 2. Сценарий перехода СЗИ в опасное состояние

Логическая ФОС для сценария (рис. 2) примет вид:

f(,,) z1 z 2 z 3 z 1  z 2  z 3 . (13)

Когда в сценарии (рис. 2) ИУ zi совместны – ФОС (13) будет полностью оп- ределенной и вероятность перехода СЗИ в опасное состояние определяется в соот- ветствии с алгоритмом 1. Если в сценарии перехода СЗИ в опасное состояние (рис. 2) ИУ, например, z1 и z3 – несовместны, то значения ФОС (13) будут заданы не на всех наборах обычной таблицы истинности (табл. 3).

177 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Таблица 3

Таблица истинности ФОС (13) при несовместных ИУ z1 и z3

№ набора z1 z2 z3 f (z1, z2 , z3) 0 0 0 0 0 1 0 0 1 1 2 0 1 0 0 3 0 1 1 1 4 1 0 0 0 5 1 0 1 Ф 6 1 1 0 1 7 1 1 1 Ф

Очевидно, на пятом и седьмом наборах (табл. 3), когда аргументы z1 1 и z3 1 ФОС (13) имеет неопределенное значение, что в теории вероятностей из- вестно как несовместное событие [8]. В подобных случаях использование положения алгебры логики о возможно- сти произвольного доопределения с целью получения полностью определенной бу- левой функции [7] противоречит правилам теории вероятностей и ЛВМ. Оценка безопасности функционирования системы, имеющей в сценарии пе- рехода в опасное состояние элементы, которые могут находиться в трех состояни- ях, а также группы несовместных событий, рассматривалась в работах [1, 9, 10]. В соответствии с [9, 10] определение вероятности перехода системы, имею- щей в своем составе несовместные события, в опасное состояние возможно при соблюдении ограничений:  рассматриваются однородные объекты риска;  справедливы следующие тождества:

z1 z 2 0, z 1  z 2  1, z 1  z 2  z 2 , z 1  z 2  z 2 ; (14)  для замещения несовместных событий их вероятностями используются правила:

 P z1 z 2 0, P z 1  z 2  P ( z 1 )  P ( z 2 )  1,  (15) P z1 z 2 1, P z 1  z 2  1  P ( z 1 )  P ( z 2 ) . Учитывая (14) и (15), а также правила ЛВМ получения арифметического по- линома ВФ, для СЗИ, имеющей в сценарии перехода в опасное состояние несо- вместные ИУ, вероятность перехода в опасное состояние можно вычислить с ис- пользованием алгоритма 2: Шаг 1. В сценарии перехода СЗИ в опасное состояние определяем:  группы совместных событий (ГСС) (рис. 4). На рис. 4 обозначены: ZZ, – несовместные ИУ, ГСС – группа совместных событий, kk11 P – вероятность перехода в опасное состояние ГСС 1, P – ОС ГСС 1 ОС ГСС n вероятность перехода в опасное состояние n-й ГСС, P – вероятность ОС Z k

перехода в опасное состояние Zk ИУ, PОС CСС ГHС – вероятность перехода в опасное состояние системы с несовместными ИУ;  несовместные ИУ, которые не входят ни в одну из ГСС.

178

Раздел III. Защита объектов информатизации

P ОС ССС ГHС

ИЛИ

P ОС ГCС 1 P ОС ГCС n P ОС Zk ИЛИ И

И ИЛИ ИЛИ И

Z1 Z2 Zk-2 Zk-1 Zk Zk+1 Zk+2 Zn-1 Zn   ГCС 1 ГCС n

Рис. 4. Порядок определения ГСС для неполностью определенной ФОС

Шаг 2. Булеву функцию, описывающую взаимосвязь ИУ в соответствующей ГСС представляем:  в ЧНФ (с использованием прямого ЛДПФ (8));  арифметическим полиномом, используя известные соотношения [5]:

z1 z 2  z 1 z 2, z 1  z 2  z 1  z 2  z 1 z 2 . (16) Шаг 3. С учетом тождеств (14), (15) и выражений (16) получаем арифметиче- ский полином ВФ перехода СЗИ в опасное состояние, описываемой неполностью определенной ФОС. В соответствии с алгоритмом 2 представим неполностью определенную

ФОС с несовместными ИУ z1 и z3 (14) (табл. 3) арифметическим полиномом ВФ: Шаг 1. Очевидно, что ИУ z и z – составляют ГСС, а ИУ z в данную ГСС 1 2 3 не входит. Шаг 2. В соответствии с (16) построим арифметический полином ВФ перехо- да в опасное состояние ГСС:

P f( z1 z 2 )  1  Q 1 Q 2 , где Q – вероятность перехода в опасное состояние i-го ИУ. i Шаг 3. В соответствии с (15) получаем арифметический полином ВФ перехо-

да в опасное состояние системы с несовместными ИУ z1 и z3 (рис. 3):

P f( z1 , z 2 , z 3 ) 1  Q 3  QQ 1 2 , (18) где Q – вероятность перехода в опасное состояние i-го ИУ. i

Ясно, что с учетом несовместности z1 и z3 для (18) должно выполняться ус- ловие QQ1 [8]. 13

179 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Использование фундаментальных положений алгебры логики, теории вероят- ностей, а также известных работ [1, 9, 10], делает удобным алгоритм 2 для вычисле- ния вероятности перехода в опасное состояние систем, описываемых как полностью определенными, так и неполностью определенными ФОС. Применение способов реализации ЧНФ позволяет получить преимущества при автоматизации процессов вычисления вероятности перехода исследуемых СЗИ в опасное состояние.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК 1. Рябинин И.А. Надежность и безопасность структурно-сложных систем: Монография. – СПб.: Политехника, 2000. – 248 с. 2. Яблонский, С.В. Введение в дискретную математику: Учеб. пособие для вузов. – 2-е изд., перераб. и доп.: Монография. – М.: Наука. гл. ред. физ.-мат. лит., 1986. – 348 с. 3. Логачёв О.А., Сальников А.А., Ященко В.В. Булевы функции в теории кодирования и криптологии. – М.: МЦНМО, 2004. – 470 с. 4. Малюгин В.Д. Применение алгебры кортежей логических функций // Х Всесоюзное сове- щание по проблемам управления: Тез. докл. Кн. 1. – М.: Ин-т проблем управления, 1986. 5. Финько О.А. Модулярная арифметика параллельных логических вычислений: Моногра- фия / Под ред. В.Д. Малюгина. – М.: ИПУ РАН, 2003. – 224 с. 6. Соколовский Е.П., Малашихин А.К., Финько О.А. Применение числовой нормальной формы представления булевых функций в логико-вероятностном методе И.А. Рябинина // Материалы XIII Международной научно-практической конференции «Информацион- ная безопасность», г. Таганрог, 9-13 июля 2013 г. Ч. II. – С. 113-118. 7. Пухальский Г.И., Новосельцева Т.Я. Цифровые устройства: Учебное пособие для втузов. – СПб.: Политехника, 1996. – 885 с. 8. Вентцель, Е.С. Теория вероятностей: Монография. – М., 1969. – 576 с. 9. Черкесов, Г.Н., Можаев А.С. Логико-вероятностные методы расчета надежности струк- турно-сложных систем. Качество и надежность изделий. – М.: Знание, 1991. – 340 с. 10. Соложенцев, Е.Д. Сценарное логико-вероятностное управление риском в бизнесе и тех- нике: Монография. – СПб.: Изд. дом «Бизнес-пресса», 2004. – 432 с. Статью рекомендовал к опубликованию д.т.н. В.Н. Марков. Финько Олег Анатольевич – Филиал Военной академии связи (г. Краснодар). e-mail: [email protected]; 350063, г. Краснодар, ул. Красина, 4; тел.: +79615874848; профессор. Соколовский Евгений Петрович – e-mail: [email protected]; тел.: +79181744325; адъюнкт. Finko Oleg Anatolievich – Branch of the Military Academy of Communications (Krasnodar); e-mail: [email protected]; 4, Krasina, Krasnodar, 350063, Russia; phone: +79615874848; professor. Sokolovsky Evgeniy Petrovich – e-mail: Biryza_08 @mail.ru; phone: +79181744325; adjunct.

УДК 004.42

Е.Н. Тищенко, Е.Ю. Шкаранда АЛГОРИТМИЗАЦИЯ ПРОЦЕССА ФОРМИРОВАНИЯ ЧАСТНОЙ МОДЕЛИ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Рассматриваются подходы к алгоритмизации процесса формирования частной модели угроз безопасности персональных данных организаций и предприятий. Предложены решения для определения состава угроз, уязвимостей и последствий реализации угроз. Для этого исполь- зованы экспертные, вероятностные методы и формализованные процедуры анализа предмет- ной области. Рассмотрены основные блоки алгоритма формирования модели угроз, описаны особенности каждого из блоков. Показано, что предложенные подходы и методы решают проблему формализации решаемой задачи, позволяют унифицировать и автоматизировать

180

Раздел III. Защита объектов информатизации

процесс формирования модели угроз. При этом предложенный алгоритм может быть исполь- зован для реализации программной системы формирования модели угроз и предназначен для того, чтобы облегчить работу специалистов, занимающихся обеспечением информационной безопасности, и в частности, защитой персональных данных. Рассмотренная структура алго- ритма может быть использована как универсальный шаблон, который применим для защиты информационных систем предприятий любого рода деятельности. Модель угроз; уязвимость; персональные данные; информационная безопасность; защита данных.

E.N. Tishchenko, E.Yu. Shkaranda ALGORITHMIZATION OF THE FORMATION OF INDIVIDUAL SECURITY THREAT MODEL OF PERSONALLY IDENTIFIABLE INFORMATION

The article discusses approaches to algorithmization of the formation of individual security threat model of personally identifiable information of companies and businesses. The solutions for the determination of threats, vulnerabilities, and consequences of threats carried out are proposed. To do this the authors used the expertise, probabilistic methods and formalized procedures of subject area analysis. The basic blocks of the algorithm of the formation of the threat model are considered, the features of each of the blocks are described. It is shown that the proposed approaches and methods solve the problem of formalization of the goal, unify and automate the process of formation of the threat model. In this case, the proposed algorithm can be used to implement a software system of formation threat model and is designed to facilitate the work of profes- sionals engaged in information security, and in particular the protection of personally identifiable information. Considered structure of the algorithm can be regarded as a universal pattern, which is applicable for the protection of corporate information systems of any type of business. Threat model; vulnerability; personally identifiable information; information security; data protection. Постановка задачи. Реальные положительные достижения в деле эффектив- ного обеспечения защиты информации может дать только построение комплекс- ной системы. Её результативность зависит, прежде всего, от степени осознания рисков и угроз, которым подвергаются или могут подвергаться информационные активы компании. С этой целью разрабатывается модель угроз нарушения инфор- мационной безопасности. Под моделью угроз понимается абстрактное (формализованное или неформа- лизованное) описание основных (актуальных) угроз безопасности, которые долж- ны учитываться в процессе организации защиты информации, проектирования и разработки системы защиты информации, проведения проверок (контроля) защи- щенности системы защиты информации. При формировании перечня угроз необходимо учитывать назначение, усло- вия и особенности функционирования информационной системы. Модели угроз могут разрабатываться для защиты различных видов конфиденциальной информа- ции, информации, относящейся к государственной тайне, для построения системы физической защиты и т.п. В связи с ростом практики правоприменения законода- тельства в области персональных данных, специалисты по защите информации всё чаще сталкиваются с задачей разработки модели нарушителя и угроз безопасности персональных данных. Создание модели угроз – зачастую довольно трудоёмкий процесс, требующий большого числа затрат. Следовательно, актуальным стано- вится алгоритмизация такого процесса, проектирование и разработка программно- го продукта, учитывающего совокупность условий и факторов, создающих опас- ность для информационных активов. Модель угроз безопасности персональных данных разрабатывается на основе следующих нормативно-правовых документов:

181 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

 «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденная 15 фев- раля 2008 года заместителем директора ФСТЭК России;  «Методика определения актуальных угроз безопасности персональных данных при обработке в информационных системах персональных дан- ных», утвержденной 14 февраля 2008 года заместителем директора ФСТЭК России;  ГОСТ Р 51275-2006 «Защита информации. Факторы, воздействующие на информацию. Общие положения». Решение задачи. Для составления алгоритма модели угроз необходимо использовать следующие параметры:  Аннотацию угрозы;  Возможные источники угрозы;  Способ реализации угрозы;  Используемые уязвимости;  Вид активов, потенциально подверженных угрозе;  Нарушаемые характеристики безопасности активов;  Возможные последствия реализации угроз. Функционирование программной системы формирования модели угроз можно рассмотреть на примере блочной структуры (рис. 1). Рассмотрим подробнее каждый блок. Задание исходных данных об организации. Первый блок подразумевает ввод данных, по кото- рым специалист, разрабатывающий модель, может идентифицировать организацию, а именно её пол- ное название, юридический адрес и т.п. Также вво- дятся технические характеристики информацион- ной системы персональных данных, на основании которых экспертным методом проводится оценка уровня исходной защищенности информационной системы персональных данных. Подробно прове- дение оценки описано в методике, разработанной ФСТЭК России. Выбор источников угрозы. Под источниками угрозы будем понимать возможные носители угро- зы информационной безопасности. Они могут быть вызваны:  «человеческим фактором»;  техническими средствами;  непредвиденными обстоятельствами, такими Рис. 1. Блочная структура как пожар, землетрясение и т.д. одного цикла программной Если у рассматриваемой угрозы антропоген- системы формирования ный источник, формируется модель нарушителя модели угроз безопасности персональных данных. В первую очередь необходимо указать, является нарушитель

182

Раздел III. Защита объектов информатизации

внешним или внутренним по отношению к организации и информационной систе- ме. Затем из предложенных характеристик и возможностей нарушителя выбрать необходимые. При указании второго источника угрозы предусмотрен выбор технического канала утечки информации. Непредвиденные обстоятельства (стихийные бедствия) практически невоз- можно спрогнозировать, но для каждого из вероятных необходим комплекс за- щитных мероприятий. Выбор способов реализации угрозы. Для каждой указанной ранее угрозы ука- зывается способ её реализации. Так, например, для угрозы целостности персо- нальных данных способом реализации может выступать использование вредонос- ного программного обеспечения, а для угрозы утечки информации по каналам по- бочных электромагнитных излучений и наводок – осуществление доступа к ин- формационной системе с использованием аппаратных средств съема информации (рис. 2).

Рис. 2. Пример содержания блока «Выбор способов реализации угрозы»

В процессе проведенных исследований был сформирован перечень угроз, от- личающийся полнотой и универсальностью по отношению к конкретной реализа- ции информационной системы. Данный перечень является частью формализованного представления модели угроз. В процессе его формирования определяются ключевые угрозы, формируют- ся из них группы, ранжируются группы по степени важности, что позволяет оце- нивать модель угроз по одному из основных показателей – критерию полноты. Данный критерий определяется путем сравнения сформированной модели с пол- ным перечнем угроз. При этом рассчитывается показатель полного поглощения моделью возмож- ных угроз [1, 2]: P(11) H  ej , (1) ej (11) (10) Pej  Pej где (11) – число угроз, входящих, как в формируемую модель, так и в полный Pik перечень; (10) – число гроз, входящих в полный перечень, но не входящих в Pik формируемую модель. Выбор используемых уязвимостей. По аналогии с третьим блоком, на основа- нии уже перечня уязвимостей, выбираем соответствующую уязвимость. Таким образом, для способа реализации «хищение» уязвимостью могут являться недос- татки механизмов охраны.

183 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

В свою очередь, перечень уязвимостей может быть определен методом тес- тирования информационной системы. При этом информационная система обра- ботки персональных данных имеет определенные особенности [3]:  отсутствие заранее заданного эталона, с которым сопоставляются резуль- таты тестирования;  значительная сложность составляющих системы и, поэтому, невозмож- ность разработки исчерпывающего тестирующего алгоритма;  сложность формализации показателей качества процесса тестирования и качества тестируемых объектов;  присутствие логических и вычислительных составляющих, которые ха- рактеризуются динамической структурой. В литературных источниках, рассматриваемых данную проблему, приведены математические модели построения системы обработки персональных данных, которые могут быть приняты как абстрактные эталоны. Однако в конкретных ус- ловиях многие показатели неоднозначны. Рассматриваемые системы, как правило, функционируют в условиях, когда факторы, возникающие в процессе работы, практически не формализуются. В свя- зи с этим практически невозможно реализовать их полное тестирование, гаранти- рующее исчерпывающую проверку. Поэтому тестирование необходимо проводить в объемах, ограниченно необходимых, в определенных заранее заданных интерва- лах модификации факторов и условий функционирования. Поэтому появляется необходимость скрупулезного отбора моделей тестирования и контролируемых параметров. Показатели качества систем обработки персональных данных весьма трудно формализуются и измеряются. В связи с этим анализ результатов тестирования в значительной степени носит относительно субъективный характер. О глубине тес- тирования можно говорить только после продолжительной их эксплуатации в кон- кретных условиях. В большинстве систем имеются компоненты, представляющие собой изме- няющиеся структуры, вырабатывающие логические решения, зависящие от слу- чайной модификации входных данных и конкретных условий функционирования. В связи с этим практически невозможно выработать универсальный тест и прихо- дится использовать различные методы тестирования, которые различаются конеч- ными задачами, контролируемыми компонентами и подходами к оценке. Последовательность тестирования включает:  формализованное описание алгоритма тестирования;  тестирование системы с ее реальным функционированием и разными уров- нями детализации;  выявление проблемных мест и условий их проявления. Для формализованного описания алгоритма тестирования нужно выработать правила формализации. Эти правила необходимо четко сформулировать, и их ко- личество не должно быть большим. Систему обработки персональных данных можно рассматривать как совокупность относительно независимых модулей, реа- лизующих конкретные функции и обладающих замкнутой структурой. Как прави- ло, они характеризуются независимым режимом работы. В связи с этим тестиро- вание нужно проводить с учетом не менее, чем трех уровней:  оценка каждого отдельного модуля для обнаружения расхождений между результатами работы, а также интерфейса с основными правилами;  одновременное тестирование взаимозависящих модулей с целью обнару- жения несоответствий между результатами работы этих модулей и общи- ми определенными правилами;

184

Раздел III. Защита объектов информатизации

 системное тестирование с целью обнаружения несоответствий между сис- темой и ее целями. На каждом уровне необходимо провести три вида тестирования:  тестирование в реальном масштабе времени;  случайное тестирование;  детеpмениpованное тестирование. В случае детеpмениpованного тестирования необходимо проверить каждую комбинацию вероятных действий и взаимозависящую с ей комбинацию результа- тов работы. При таком подходе возможно выявление отклонений результатов ра- боты от первоначально заданных с учетом сочетаний типа: входящий сигнал – отк- лик системы. В связи с тем, что достаточно сложно перебрать каждые возможные вариан- ты происходящих событий, становится возможным применение случайного тести- рования. Расширение числа событий может возникнуть при использовании тестирова- ния в реальном масштабе времени. Такого тестирование проверяет работу с уче- том процесса изменения объемов оперативной памяти, параметров вычисли- тельной системы и т.д. Анализ структуры реализуемых системой обработки персональных данных функций показывает, что вполне возможно моделирование вариантов их реализа- ции с определением вероятности наличия уязвимости и ее несанкционированного использования за заданное время [4]. Алгоритм обнаружения и использования уязвимости системы может рас- сматриваться как последовательность элементарных операций с определением временных параметров их реализации. При имитационном моделировании с при- менением стандартных программных средств установлен факт того, что закон рас- пределения всего времени реализации обнаружения и использования уязвимости является нормальным и, следовательно, корректно применить вероятностную функцию Лапласа. При этом расчет вероятности осуществляется по формуле: TM P 0,5Ф t , (2) tT 0  t где Ф0(z) – функция Лапласа; P(t) – вероятность обнаружения и использования уязвимости за время T; Mt, Dt – математическое ожидание и дисперсия. Ввод активов, потенциально подверженных угрозе. Специалист по защите информации вводит в программу перечень информационных активов, которых коснется конкретная угроза. Выбор нарушаемой характеристики безопасности активов. Характеристи- ками безопасности информации являются:  конфиденциальность;  целостность;  доступность. Вывод возможных последствий реализации угрозы. Каждая реализованная угроза влечет за собой определённые последствия. Важно понимать, какие именно. Ими могут стать, к примеру, нарушение режима функционирования информаци- онной системы, несанкционированное ознакомление и разглашение персональных данных, финансовый ущерб организации. При этом, для определения состава возможных последствий угрозы вполне корректным является применение экспертных методов [5, 6].

185 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Пусть W – весовой коэффициент значимости последствия угрозы F , присво- i i енный экспертом. Пусть Gi – степень возможности последствия. При этом, 01G и W  0 для 1in. i i В такой постановке можно применить линейный метод для надежности сис- темы защиты персональных данных SR (s), оцениваемой экспертом r. Надежность может быть определена по формуле: 1 n SR(,) s r  W G . (3) ii n i 1 Алгоритм процесса формирования частной модели нарушителя и угроз безо- пасности персональных данных должен строиться с учетом определённых прин- ципов. Вводимые исходные данные об организациях сохраняются в базу данных для упрощения дальнейшей работы. Позиции, предполагающие выбор, должны содержать данные, в первую очередь основанные на руководящих документах ФСТЭК России и ФСБ. Также должна быть предусмотрена возможность ввода специалистом в области информационной безопасности, работающим с програм- мой, дополнительных данных. По окончанию работы одного цикла программы на основе полученной информации о защищаемом объекте должен формироваться список возможных последствий реализации угрозы. После формирования первой угрозы, программа должна возвращаться на этап выбора источников угрозы. В итоге формируется перечень всех прогнозируемых угроз нарушения безопасно- сти персональных данных объекта. Выводы. Предложенный алгоритм может быть положен в основу программ- ной системы формирования модели угроз и призван облегчить работу специали- стов, занимающихся защитой персональных данных. Описанная структура являет- ся универсальным шаблоном, который можно применять для защиты информаци- онных систем предприятий любого рода деятельности.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК 1. Хубаев Г.Н. Экономика проектирования и применения банков данных: Текст лекций. – Ростов-на-Дону: РИСХМ, 1989. – 69 c. 2. Тищенко Е.Н., Степанов Д.П. Определение эффективности распределенных межсетевых экранов в зависимости от функциональной полноты // Экономические науки. – 2008. – № 41. – С. 151-156. 3. Шураков В.В. Надежность программного обеспечения систем обработки данных: Учеб- ник. – 2-е изд., перераб. и доп. – М.: Финансы и статистика, 1987. – 272 с. 4. Тищенко Е.Н., Строкачева О.А. Модель аудита информационной безопасности систем электронной коммерции // Научная мысль Кавказа. – 2006. – № 14. – C. 134-141. 5. Тищенко Е.Н., Строкачева О.А. Оценка параметров надежности защищенной платежной системы в электронной коммерции // Вестник РГЭУ (РИНХ). – 2006. – № 22. – С. 115-122. 6. Тищенко Е.Н. Инструментальные методы защищенности распределенных экономиче- ских информационных систем: дис. …д-ра. экон. наук. – Росто-на-Дону, 2003. Статью рекомендовал к опубликованию д.т.н., профессор С.В. Соколов. Тищенко Евгений Николаевич – Ростовский государственный экономический универси- тет (РИНХ); e-mail: [email protected]; 344007, г. Ростов-на-Дону, ул. Б. Садовая, 69; тел.: +78632402123; кафедра информационных технологий и защиты информации; зав. кафедрой; д.э.н.; доцент. Шкаранда Екатерина Юрьевна – e-mail: [email protected]; 344016, г. Ростов- на-Дону, ул. Горшкова 9/1, кв. 34; тел.: +79289882829; кафедры информационных техноло- гий и защиты информации; аспирантка.

186

Раздел III. Защита объектов информатизации

Tishchenko Evgeniy Nikolayevich – Rostov State Economic University; e-mail: [email protected]; 69, B. Sadovaya Street, Rostov-on-Don, 344007, Russia; phone: +78632402123; the department information technologies and information security; head of department; dr of ec. sc.; associate professor. Shkaranda Ekaterina Yurievna – e-mail: [email protected]; apt. 34, 9/1 Gorshkova street, Rostov-on-Don, 344016, Russia; phone: +79289882829; the department information technologies and information security; postgraduate student.

УДК004.056

В.С. Аткина МОДЕЛЬ ОЦЕНКИ ЗАЩИЩЕННОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ

Цель исследования: разработкамодели оценки защищенности информации в органи- зациях банковской системы Российской Федерации. В рамках данного исследования решены следующие задачи: рассмотрена проблема обеспечения информационной безопасности организаций банковской системы Российской Федерации. Проанализированы требования регуляторов к уровню защищенности информации в организациях, принадлежащих банков- ской системе. Определены цели, задачи и этапы обеспечения информационной безопасно- сти в банковской сфере. Проанализирована модель автоматизированной банковской ин- формационной системы, на основании которой выделены уровни иерархииинформационной инфраструктуры, ключевые бизнес-процессы, элементы структуры и виды связей между ними. Предложена и формально описана модель оценки защищенности информации в орга- низациях банковской системы Российской Федерации. Сделан вывод о возможности авто- матизации предложенного подхода к оценке защищенности и использовании его в качестве программного обеспечения автоматизированного рабочего места специалиста по защите информации. Банковская система; угроза; информационная безопасность; риск; оценка защищен- ности.

V.S. Atkina MODEL ASSESSMENT OF THE BANKING SYSTEM PROTECTION ORGANIZATIONS OF THE RUSSIAN FEDERATION

The purpose of the study is development the model of evaluation information security in organizations of the banking system of the Russian Federation. The present study addressed the following tasks: the problem of information security organizations of the banking system of the Rus- sian Federation was discussed. Analyze the requirements of regulators to the level of information security in organizations of the banking system. Were defined goals, objectives and stage to ensure information security in the banking sector.The author analyzed the model of the automated banking information system , the analysis were identified levels of the hierarchy of the information infrastructure , business processes , the structure and types of connections between them. Pro- posed and formally described model estimation of information security in the organization of the banking system of the Russian Federation. It is concluded that the possibility of automating the proposed approach to security assessment and its use as a software workstation specialist in information security. Banking system; threats; information security; risk; assessment of security. В настоящее время одной из значительных и активно развивающихся отрас- лей экономики Российской Федерации (РФ) является банковская деятельность. Одной из составляющих успешного развития которой является обеспечение ин- формационной безопасности (ИБ). И это связано не только с задачами обеспече-

187 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

ния успешной коммерческой деятельности, конкурентоспособности и поддержа- нием хорошей репутацией банка, но и с экономической стабильностью финансо- вой системы РФ в целом. Поскольку,негативные последствия сбоев в работе от- дельных организаций банковской системы (БС) РФ могут привести к быстрому развитию системного кризиса платежной системы РФ, нанести ущерб интересам собственников и клиентов. Следовательно, для организаций БС РФ угрозы и ин- циденты, связанные с нарушением ИБ представляют существенную опасность. Для противостояния подобным угрозам и дестабилизирующим факторам и сниже- нию потенциальных рисков, а также для обеспечения эффективности мероприятий по устранению последствий инцидентов ИБ в организациях БС РФ следует обес- печить достаточный уровень защищенности. При этом объем и виды мероприятий принимаемых организациями БС РФ для защиты информации зависит не только от желания и возможностей собственника, но и определяется рядом обязательных требований регуляторов. В их числе – постановления и инструкции ЦБ РФ; стан- дарт СТО БР ИББС-1.0-2010, посвященный системе управления ИБ банка; различ- ные международные стандарты, например, ISO 13569 «Banking and related financial services-Information security guide lines»; требования Basel II; различные требова- ния международных платежных систем, например, стандарт Payment Card Industry Data Security Standard (PCI DSS), и другие. Сегодня в России помимо крупнейших игроков банковского сектора сущест- вует множество небольших банков, которые в силу финансовых ограничений не могут позволить себе вкладывать значительные суммы в информационную безо- пасность. Тем не менее, обеспечить безопасность автоматизированных банковских систем и информационных систем банков, является необходимостью для банков любого масштаба. Следовательно, актуальным направлением является решение задач связанных с оценкой защищенности организаций банковской системы и вы- бором наиболее рациональных средств защиты, применение которых позволило бы при ограниченном бюджете удовлетворить обязательным требованиям регуля- торов и обеспечить необходимую защищенность системы. Анализ [1] показывает, что БС РФ включает в себя следующие организации:  Банк России;  кредитные организации;  филиалы и представительства иностранных банков. В процессе осуществления своей деятельности каждая организация из пере- численных выше групп реализует множество бизнес - процессов, которые в соот- ветствии с [1] разделяют на три категории:  основные процессы, обеспечивающие достижение целей и задач организа- ции БС РФ;  вспомогательные процессы, обеспечивающие качество, в том числе обес- печение ИБ организации БС РФ;  процессы управления, направленные на обеспечение поддержки парамет- ров основных и вспомогательных процессов в заданных пределах и их корректировку в случае изменения внешних или внутренних условий. Для автоматизации бизнес-процессов и обработки больших объемов инфор- мации, которыми оперирует любая организация БС РФ, используются автоматизи- рованные банковские и информационные системы, типовая модель которой может быть описана следующим элементами:  аппаратные средства (сервера, АРМ пользователей и операторов, терми- налы и т.п.);  линии связи;  сетевое оборудование (маршрутизаторы, коммутаторы, концентраторы и пр.);

188

Раздел III. Защита объектов информатизации

 сетевые приложений и сервисы;  операционные системы (ОС);  системы управления базами данных (СУБД);  банковские технологические процессы и приложения;  бизнес-процессов организации. При этом успешность выполнения каждой категории бизнес-процессов по- средством выделенных элементов автоматизированной банковской информацион- ной системы (АБИС) будет зависеть от полноты выполнения следующих требова- ний к ИБ:  обеспечение конфиденциальности информации;  обеспечение доступности информации, сервисов и сетевых и аппаратных подсистем;  обеспечение целостности информации;  обеспечение непрерывности бизнес-процессов. Данные требования должны выполняться как в штатных ситуациях, в про- цессе нормального функционирования, так и в условиях воздействия на систему дестабилизирующих факторов и угроз различного характера:  локальных инцидентов ИБ;  чрезвычайных ситуаций, широкомасштабных катастроф, аварий различ- ной природы и их последствий. При этом, как показано в [1], для каждого элемента АБИС угрозы нарушения ИБ и их источники (как случайные так и умышленные), методы и средства защи- ты, а также подходы к оценке их эффективности являются различными. Проведенный анализ литературных источников [2–7] позволяет сделать вы- вод, что архитектура системы ИБ организаций БС РФ, которая покрывает основ- ные классы угроз, должна содержать следующие компоненты:  подсистему межсетевого экранирования;  подсистему защиты внутренних сетевых ресурсов;  подсистему защиты Web-ресурсов;  подсистему обнаружения и предотвращения вторжений;  антивирусную подсистему;  подсистему контроля содержимого Интернет-трафика;  подсистему аутентификации и авторизации пользователей;  подсистему криптографической защиты информации;  подсистему протоколирования, отчета и мониторинга средств защиты;  подсистему физической защиты;  подсистему защиты рабочих станций;  подсистему управления ИБ. После внедрения спроектированной системы необходимо обеспечить ее под- держку и сопровождение. Таким образом, в соответствии с [1, 8, 9] мероприятия по обеспечению ИБ в организациях БС РФ проводятся в четыре этапа:  планирование системы ИБ организации;  реализация и внедрение системы ИБ организации;  проверка и оценка системы ИБ организации БС РФ;  поддержка и улучшение системы ИБ организации. Таким образом, оценка защищенности информации в организации БС РФ яв- ляется важным этапом процесса управления всей ИБ организации в целом, позво- ляющим не только составить модель актуальных угроз, модель злоумышленника, проанализировать потенциальные риски и степень выполнения организацией тре- бований регуляторов к ИБ, оценить эффективность и достаточность используемых

189 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

механизмов защиты информации. Но и выработать рекомендации по повышению общего уровня защищенности применение которых, на практике, позволит улуч- шить систему ИБ организации. Для описания процедуры проведения оценки защищенности автором предла- гается следующая формальная модель: , (1) где  – множество, описывающее информационные активы.  – объекты среды, описывают элементы АБИС и их принадлежность к уровням иерархии информационной инфраструктуры.  – множество угроз нарушения информационной безопасности.  – множество возможных механизмов и методов защиты информации.  – множество требований регуляторов к обеспечению ИБ в организа- ции БС РФ.  – уровень защищенности.  – данные отчета о результатах оценки защищенности организации БС РФ. Каждый элемент описывается вектором IAi=(Type,A, I, C, Cy), где Type – это тип информационного актива, описывается множеством базовых значе- ний Type={BT, PI, CT, PD, YI, OI}, где BT – банковская тайна, PI – платежные данные, CT – коммерческая тайна, PD - персональные данные, YI – управляющая информация, OI – общедоступная информация}. A – доступность, I – целостность, C – конфиденциальность, Cy – непрерывность – свойства информации, которые необходимо обеспечивать. Принимают значение 1 если свойство необходимо обеспечить и 0 в противном случае. Каждый элемент , описывается вектором Oj=(L, TO), где L – уровень иерархии информационной инфраструктуры. TO – тип элемента структуры АБИС. Значение L определяется множеством L={FL, NL, SL, OSL, DBL, BL}, где FL – физический уровень; NL – сетевой уровень; SL – уровень сетевых приложений и сервисов; OSL – уровень операционных систем (ОС);DBL – уровень систем управ- ления базами данных; BL – уровень банковских технологических приложений и сервисов. Для указания типа связи и существующего отношения IOR между информа- ционными активами и объектами среды используется следующее правило:

(2)

где – отображает наличие и тип связи между i-м информационным активом и j-ымобъектом среды. При этом , а .

Каждый элемент из множества угроз , представляется следующим вектором значений где р – вероятность реализации угрозы, u – потенциальный ущерб, risk–риск, выраженный в качественной форме и прини- мающий одно из двух возможных значений Trisk={допустимый, мый}= Оценка вероятности реализации угрозы определяется либо на ос- новании накопленных статистических данных, характерных для данного региона и условий эксплуатации и может быть выражена как в количественной, так и в каче- ственной форме либо производится экспертным путем. Таким образом, вероят- ность реализации среды , с областью определения Р=[0, 1] задается в соответст-

190

Раздел III. Защита объектов информатизации

вии с [10] следующим множеством базовых значений ТP={нереализуемая, минималь- ная, средняя, высокая, критичная}= Оценка потенциально возможного ущерба от реализации угрозы информационной безопасности тесно свя- зана с величиной капитала организации БС РФ и также формируется экспертным пу- тем. Величина ущерба от реализации угрозы задается множеством базовых значе- ний ТU={минимальная, средняя, высокая, критичная}= Для пере- хода между количественными и качественными значениями использовалось правило, предложенное в [10]. Определения значения рисков осуществляется в соответствии с правилом, составленным в соответствии с системой нечетких высказываний описанной формулой

где Ekj: « ». Для определения связи между угрозами и информационными активами ис-

пользуется матрица бинарных отношений . При этом , а .

Каждый механизм защиты информации в АБИС характеризуется вектором , где – тип средства защиты, – время внедре- ния, – стоимость. Для описания связи между потенциальными и актуальными угрозами и ме- ханизмами и средствами и средствами защиты информации для исследуемой орга- низации БС РФ предлагается использовать отношение , которое представле- но в виде матрицы:

где – отображает наличие и тип связи между i-ой угрозой нарушения ИБ и j-ым средством защиты .В модели отношений в соответ- ствии с подходом, описанным автором в [11], определены следующие типы связей:  MP – имеется механизм защиты, данный вид связи указывает, что для су- ществующейугрозы в организации БС РФ имеется средство, противодей- ствующее ее деструктивному воздействию;  NMP – нет механизма защиты, данный вид связи показывает, что для су- ществующей угрозы нет средства, осуществляющего защиту.

При этом , MP, NMP – наличие связи типа определенного типа между i-й угрозой и j-м средством защиты. Для элементов данной матрицы верно следующее:

Если для всех значений i=k, , то делается вывод о том, что в ор- ганизации нет защиты от данного деструктивного воздействия угрозы, и для по- вышения уровня защищенности АБИС организации необходимо внедрить допол- нительные средства и механизмы защиты. Множество требований регуляторов к обеспечению ИБ в организации БС РФ включает в себя требования к обеспечению ИБ организаций БС РФ, опреде- ленные в [1] – {Req}, множество оценок степени выполнения требований безопас- ности – {EV}, итоговый уровень соответствия ИБ организации требованиям из

191 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

множества {Req} – {R} и определяется как .Правила получения количественных оценок показателей из {EV} и итогового уровня соот- ветствия R описаны в [12]. В рамках данной работы под уровнем защищенности организаций БС РФ предлагается понимать обобщенный показатель, позволяющий комплексно оце- нить существуют ли в организации недопустимые риски, незакрытые средствами защиты угрозы, а также насколько система ИБ в организации соответствует требо- ваниям регуляторов. Показатель защищенности MPr рассчитывается по формуле.

где – количество частных показателей безопасности, MPiчастный показатель безопасности, принимающий значения из множества {0, 1} в соответствии со сле- дующим правилом:

 MP1 – отсутствие недопустимых рисков, в случае если в организации при составлении модели угроз и оценки рисков были выявлены недопустимые по своему уровню риски, то MP1=0, в противном случае MP1=1.  MP2 – отсутствие опасных угроз незакрытых механизмами и средствами защиты, принимает значение MP2=0в случае если в организации при со- ставлении модели отношения между угрозами и механизмами защиты бы- ли выявлены «незакрытые» угрозы и MP2=1 в противном случае.  MP3 – уровень соответствия ИБ организации требованиям рекомендуе- мый, MP3=1 если уровень соответствия по результатам расчета признан рекомендуемым и MP3=0 если уровень не является рекомендуемым. На основании полученных данных системе присваивается один из трех уров- ней защищенности MPL={низкий, средний, высокий} в соответствии с правилом

Полученная в результате аудита и оценки защищенности информация о наи- более ценных информационных активах, составленной модели угроз, недопусти- мом уровне рисков, имеющихся средствах защиты, а также степени соответствия системы ИБ организации требованиям к защите и уровне защищенности отражает- ся в отчете на основание которого выявляются наиболее уязвимые места и выраба- тываются рекомендации по повышению в случае необходимости защищенности АБИС организации. Предложенная модель оценки защищенности может быть автоматизирована и оформлена в виде программного обеспечения или системы поддержки принятия решений по проверки и оценки системы ИБ организации БС РФ.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК 1. СТО БР ИББС -1.0-2010. Обеспечение информационной безопасности организаций бан- ковской системы Российской Федерации. Общие положения [электронный ресурс]: URL - http://www.cbr.ru/credit/Gubzi_docs/st-10-10.pdf (дата обращения 13.10.2013). 2. Никишова А.В. Принципы функционирования многоагентной системы обнаружения атак// Известия ЮФУ. Технические науки. – 2012. – № 12 (137). – С. 28-33. 3. Оладько А.Ю. Модель адаптивной многоагентной системы защиты // Известия ЮФУ. Технические науки. – 2011. – № 12 (125). – С. 210-217. 4. Голов А. Обеспечение безопасности современного банка // CIO. – 2006. – № 6. – С. 2 3-25. 5. Слободенюк Д. Средства защиты информации в банковских системах // Банковские тех- нологии. URL – http://www.arinteg.ru/about/publications/press/ sredstva – zashchity – informatsii – v-bankovskikh - sistemakh-131107.html (дата обращения 10.10.2013).

192

Раздел III. Защита объектов информатизации

6. Максимова Е.А. Методология принятия оптимальных решений при проектировании системы защиты информации в беспроводных сетях // Актуальные вопросы информа- ционной безопасности региона в условиях глобализации информационного пространст- ва: материалы Всерос. науч.-практ. конф., г. Волгоград, 27 апреля 2012 г. – Волгоград: Изд-во ВолГУ, 2012. – С. 99-105. 7. Максимова Е.А., Сидоров М.В. Разработка модели безопасности сенсорных беспровод- ных сетей// Актуальные вопросы информационной безопасности регионов в условиях глобализации информационного пространства // Материалы II Всерос.научн.-практ. конф., г. Волгоград, 26 апр. 2013 г. – Волгоград: Изд-во ВолГУ, 2013. – С. 132-138. 8. ГОСТ ISO 9001-2011 «Системы менеджмента качества. Требования» [электронный ре- сурс]: URL – http://base.garant.ru/70304640 (дата обращения 10.10.2013). 9. ISO/МЭК 27001-2005 «Информационные технологии. Методы защиты. Системы ме- неджмента защиты информации. Требования» [электронный ресурс]: URL – http://www. specon.ru/files/ISO27001.pdf (дата обращения 10.10.2013). 10. РС БС ИББС – 2.2-2009. Обеспечение информационной безопасности организаций бан- ковской системы Российской Федерации. Методика оценки рисков нарушения инфор- мационной безопасности.[электронный ресурс]: URL –http://www.cbr.ru/credit/ Gubzi_docs/st22_09.pdf.(дата обращения 14.10.2013). 11. Аткина В.С. Система синтеза проектов рациональных катастрофоустойчивых решений для корпоративных информационных систем // Информационные системы и техноло- гии. – 2013. – № 4 (78). – С. 122-130. 12. СТО БР ИББС-1.2-2010. Обеспечение информационной безопасности организаций бан- ковской системы Российской Федерации. Методика оценки соответствия информацион- ной безопасности организаций банковской системы Российской Федерациитребованиям СТО БР ИББС – 1.0-2010 [электронный ресурс]: URL – http://www.cbr.ru/credit/ Gubzi_docs/st-12-10.pdf(дата обращения 13.10.2013). Статью рекомендовал к опубликованию д.т.н., профессор Л.К. Бабенко. Аткина Владлена Сергеевна – Волгоградский государственный университет; e-mail: [email protected]; 400062, г. Волгоград, пр-т Университетский, 100; тел.: 88442460368; кафедра информационной безопасности; старший преподаватель. Atkina Vladlena Sergeevna – Volgograd State University; e-mail: atkina.vlaldlena @ yandex.ru; 100, University Avenue, Volgograd, 400062, Russia; phone: +78442460368; the department of information security; senior lecturer.

193 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Раздел IV. Методы и средства криптографии и стеганографии

УДК 004.056.5

С.А. Евпак, В.В. Мкртичян О СВЯЗИ ГРАНИЦ ПРИМЕНЕНИЯ СПЕЦИАЛЬНОЙ СХЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ, ОСНОВАННОЙ НА Q-ИЧНЫХ КОДАХ РИДА–МАЛЛЕРА

Целью работы является исследование условий применения схемы защиты легально тиражируемой цифровой продукции от несанкционированного распространения. Задачами работы являются, во-первых, исследование новых границ применения схемы защиты, а во- вторых, построение условий связи границ применения этой схемы. В соответствии с це- лью в работе проведено исследование условий применения схемы специального широкове- щательного шифрования (ССШШ), основанной на перспективных q-ичных кодах Рида– Маллера, и современных методах списочного декодирования в случае превышения допус- тимого числа членов коалиции злоумышленников. В соответствии с задачами в работе получены новые границы применения этой схемы, а также условия, представляющие связь как новых, так и исследованных ранее границ применения этой схемы. Полученные теоре- тические результаты можно использовать в ходе проектирования ССШШ при выборе значений параметров применяемого в ССШШ q-ичного кода Рида–Маллера и управляющих параметров применяемого в ССШШ списочного декодера. q-коды Рида–Маллера; списочное декодирование; широковещательное шифрование; поиск злоумышленников.

S.A. Yevpak, V.V. Mkrtichan АBOUT THE LINK BETWEEN THE BOUNDS OF APPLYING OF THE SPECIAL INFORMATION PROTECTION SCHEME BASED ON THE Q-ARY REED–MULLER CODES

The purpose of the article is to study conditions of applying of a scheme of legally circulated digital products protection from unauthorized distribution. The objectives are to study new bounds of the scheme and to build a conditions of connections between the bounds of the scheme. Accord- ing to the purpose an study of special broadcast encryption scheme (SBES), based on perspective q-ary Reed–Muller codes and modern methods of list decoding is carried out in case of exceeding of possible size of coalition members. According to the objectives a new bounds of applying of the scheme are constructed and a link between the bounds and a bounds constructed in previous works are deduced. This theoretical results can be applied during engineering of SBES, particularly during selecting a parameters of applied Reed-Muller code and parameters of applied list decoder. q-ary Reed-Muller codes; list decoding; broadcast encryption; traitor tracing. 1. Введение и постановка задачи. В работе [1] рассмотрен перспективный способ защиты легально тиражируемой цифровой продукции от несанкциониро- ванного распространения, называемый схемой специального широковещательного шифрования (ССШШ). Известно, что злоумышленники, являющиеся легальными пользователями ССШШ, могут объединяться в коалиции и пытаться атаковать ССШШ. В [2], [3] доказано, что для эффективного поиска всей коалиции, или, по

194

Раздел IV. Методы и средства криптографии и стеганографии

крайней мере, ее непустого подмножества, можно применять q-ичные коды Рида– Маллера. В [4] представлена математическая модель эффективной ССШШ на ос- нове q-ичных кодов Рида–Маллера и списочного декодера Пелликаана для q- ичных кодов Рида-Маллера. Целью настоящей работы является исследование ма- тематической модели эффективной ССШШ на основе q-ичных кодов Рида- Маллера и списочного декодера Пелликаана для q-ичных кодов Рида–Маллера в случае превышения допустимого числа членов коалиции злоумышленников. 2. Определение q-ичных кодов Рида-Маллера и списочное декодирование. Пусть – множество натуральных чисел, , – кольцо

полиномов m переменных с коэффициентами из поля Галуа , – подпространство полиномов степени не выше r кольца , степень

монома есть , а степень полинома f из есть максимальная из степеней входящих в него мономов. Пусть, кроме того, – фиксированное упорядочение элементов про-

странства Хемминга , где . Тогда q-ичный код Рида– Маллера порядка определяется следующим образом [5]:

. Из леммы 2 работы [2] вытекает, что для кода ) выполняется оценка

В работе [5] представлен алгоритм списочного декодирования q-ичного кода Рида–Маллера, на который далее будем ссылаться как на Алгоритм 1. Входными параметрами алгоритма являются параметры q, r и m кода . При деко-

дировании на вход алгоритма подается слово , где – длина кода . Декодер производит поиск всех кодовых слов в пределах сферы, центром которой является , радиусом – величина (1)

где – минимальное расстояние кода . Выходом алгоритма является список всех информационных векторов , удовлетворяющих усло- вию: . Оценка эффективности работы алгоритма 1 списочного декоди-

рования q-ичного кода Рида-Маллера составляет операций в поле и операций в поле . 3. Математическая модель схемы специального широковещательного шифрования, основанной на q-ичных кодах Рида–Маллера и списочном деко- дере для них. Для получения доступа к распространяемым данным пользователь ССШШ получает от распространителя данных ключевую пару, включающую, в частности, так называемый вектор-номер, являющийся словом помехоустойчивого кода ([1], [4], [6]). Злоумышленники могут объединить свои вектор-номера в коалицию и строить потомков коалиции. Множество всевозможных коалиций кода мощности не более обозначается через ; множество потомков коалиции обозначается через и определяется правилом

где – множество i-х координат всех вектор-номеров коалиции ; множество пиратских вектор-номеров коалиции определяется правилом . Под множеством-потомков кода будем понимать

195 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Пиратские вектор-номера можно применять для нелегального доступа к ти- ражируемым данным. Через будем обозначать максимальное число нулей в пиратском век- тор-номере, который может быть порожден коалицией мощности c из множества . Нетрудно видеть, что . Пусть , – произвольный код. Код является -FP-кодом тогда и толь- ко тогда, когда .

Отметим, что код является c-FP-кодом тогда и только тогда, когда никакая коалиция злоумышленников мощности не более не может осуществить прямую компрометацию легального пользователя, не входящего в нее, путем создания его вектор-номера. Пусть , – произвольный код. Код является -IPP-кодом тогда и только тогда, когда

. Отметим, что код является c-IPP-кодом тогда и только тогда, когда для любо- го потомка пересечение всех порождающих коалиций не пусто [7]. Пусть , – произвольный код. Код является -TA-кодом тогда и толь- ко тогда, когда

. Отметим, что код является -TA-кодом тогда и только тогда, когда для лю- бого пиратского вектор-номера ближайшим кодовым словом являет- ся элемент y, входящий в каждую из создающих его коалиций. Этот элемент в [7] предлагается находить переборным декодером. Сформулируем лемму, содержащую необходимые далее результаты работы [7] о -TA-кодах и -IPP-кодах. Лемма 1 ([7], раздел 1.3). Пусть , – произвольный код длины n с ми- нимальным расстоянием d и мощностью N над полем Галуа . Тогда 1) если для кода выполняется условие

то код является -TA-кодом и выполняется условие

2) если выполняется условие , то код не является -IPP-кодом; 3) если код является -TA-кодом, то код является -IPP-кодом; 4) если код является -TA-кодом, то код является -FP-кодом. Для построения ССШШ используют, в частности, -IPP-коды и -TA-коды [2], [4], [6], [7]. Лемма 2 ([8], раздел 3.1). Пусть , – линейный код длины n с мини- мальным расстоянием d над полем Галуа и пусть выполняется равенство

. Код является -TA-кодом тогда и только тогда, когда выполняется нера- венство

196

Раздел IV. Методы и средства криптографии и стеганографии

Следствие ([8], раздел 3.2). Пусть , – циклический код длины n с мини- мальным расстоянием d над полем Галуа . Тогда для кода выполняется условие

Для построения эффективной ССШШ удобно использовать с-TA-коды [4], [6]. Теорема 1 ([4], раздел 3). Пусть , такие, что выполняется ус- ловие , a )-код над полем , – определено в (1). Если выпол- няется условие

, (2)

то, во-первых, код является -TA-кодом, а во-вторых

Рассмотрим q-ичный код Рида-Маллера с параметрами такими, что выполня- ется условие (2). Тогда по теореме 1 код является -TA-кодом и может быть ис- пользован для защиты от коалиционных атак [2]. При этом при обнаружении пи- ратского вектор-номера применяется следующий порядок действий котроллера: подать и вектор на вход Алгоритма 1 и на выходе получить список легальных вектор-номеров из коалиции. Из того, что -TA-коды является и -FP-кодами, следует, что помимо возможности эффективного поиска злоумыш- ленников в модели исключается возможность прямой компрометации невиновных пользователей. Под компрометацией пользователя контроллером будем понимать существование такого потомка из , что применение к нему декодера дает список, включающий вектор-номер данного пользователя. 4. Исследования схемы специального широковещательного шифрова- ния, основанной на q-ичных кодах Рида–Маллера и списочном декодере для них, в случае превышения пороговой мощности коалиции. Формулировка ос- новных результатов. Выше отмечено, что условие является необходи- мым условием корректной работы эффективной ССШШ. В случае превышения мощности коалиции порога корректная работа модели не гарантируется. Согласно [9] возможны следующие ситуации результата работы контроллера. 1. Для пиратского вектор-номера получен непустой список легаль- ных вектор-номеров из коалиции, однако, в нем оказались вектор-номера неви- новных пользователей. Это событие назовем компрометацией невиновного поль- зователя списочным декодером Пелликаана (см. Алгоритм 1). 2. Ближайшим к является вектор-номер невиновного пользователя. Это со- бытие назовем компрометацией невиновного пользователя переборным декодером. 3. Вектор-номер нелегальный, однако полученный от контроллера список пуст. Это событие не приводит к компрометации невиновного пользователя. 4. Вектор-номер легальный, но создан некоторой коалицией ( ). Это событие назовем прямой компрометацией невиновного пользо- вателя. В случае 4 контроллер не имеет возможности обнаружить факт коалицион- ной атаки. В случае 3 контроллер обнаружит факт коалиционной атаки с превы- шением мощности коалиции допустимого порога , но предпринять каких- либо действий не сможет. В случаях 1 и 2 контроллер рассмотрит список вектор- номеров, в котором в качестве вектор-номера злоумышленника имеет смысл рас- сматривать вектор-номер, ближайший к . Аналогично [6] введем классификацию различных случаев нарушения (1). Пусть – множество натуральных чисел, , – -код,

. Рассмотрим множества , называемые областями компрометации кода . Пусть

197 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Область кода это множество мощностей таких коалиций, при кото- рых для некоторого кодового слова существует коалиция, у которой хотя бы один из потомков расположен на расстоянии не далее от данного кодового слова. Очевидно, что – множество таких значений , при которых для кода существует возможность компрометации некоторого невиновного пользователя в результате применения Алгоритма 1 к потомку коалиции. Пусть

Область кода есть множество мощностей таких коалиций, при кото- рых для некоторого кодового слова существует коалиция , у которой хотя бы один из потомков расположен не далее от , чем от любого элемента . Пусть

Область кода это множество мощностей таких коалиций, при которых для некоторого кодового слова существует коалиция, у которой является потомком. Пусть

Область кода это множество мощностей таких коалиций, у которых не имеется возможности определить ни одного члена коалиции по некоторому ее потомку.

Отметим, что сдвиг двух точек пространства на некоторый вектор сохра- няет расстояние между ними, а сдвиг множества потомков любой коалиции на про- извольный кодовый вектор образует множество потомков сдвинутой на тот же век- тор коалиции. Отсюда вытекает, что для каждого i множество состоит из та- ких , при которых возможна соответствующая компрометация не только одно- го, но и нескольких пользователей. Очевидно, – целочисленный отрезок вида: , где – величина, называемая рубежом областей компрометации . Да- лее будем использовать следующие обозначения: ; . Непосредственно из определений вытекает справедливость вложения . В зависимости от конкретных условий, при которых проектируется ССШШ, вычисление рубежей позволяет уточнить параметры используемого кода и декодера для того, чтобы уменьшить негативные последствия возможности пре- вышения пороговой мощности коалиции злоумышленников. Действительно, если мощность с коалиции злоумышленников превышает рубеж , то возможна компрометация невиновного пользователя списочным декодером. Если мощность с коалиции злоумышленников превышает рубеж , то возможна компроме- тация невиновного пользователя переборным декодером. Если мощность с коали- ции злоумышленников превышает рубеж , то возможна прямая компроме- тация невиновного пользователя. Непосредственный расчет рубежей является достаточно непростой комбинаторной задачей, поэтому если для некоторого i вычислить не уда- ется, то интерес представляет задача получения границ для значений . Для решения этих задач введем следующие величины:

, , .

Очевидно, выполняются неравенства .

198

Раздел IV. Методы и средства криптографии и стеганографии

Сформулируем основной результат работы о рубежах множеств компрометации . Теорема 2. Пусть , , а = – q-ичный код Рида- Малера. Если выполняется условие , то рубежи , , и имеют следующие границы , , . Если выполняется условие , то выполняется равенство . Если выполняется условие , , тогда выполняется нера- венства . Доказательство теоремы 2 основывается на результатах работ [2], [3] и [6] и публикуется отдельно. Полученные теоретические результаты можно использо- вать в ходе проектирования ССШШ при выборе значений параметров и при- меняемого в ССШШ q-ичного кода Рида-Маллера. Представленные границы по- зволяют делать вывод о возможности различных типов компрометации контрол- лером невиновных пользователей в случае атаки коалиции мощности , превосхо- дящей порог .

БИБЛИОГРАФИЧЕСКИЙ СПИСОК 1. Silverberg A., Staddon J., Walker J. Application of list decoding to tracing traitors // In Adv. in Cryptology – ASIACRYPT 2001 (LNCS 2248). – 2001. – P. 175-192. 2. Евпак С.А., Мкртичян В.В. Исследование возможности применения q-ичных кодов Ри- да-Маллера в схемах специального широковещательного шифрования // Известия вузов. Северо-Кавказский регион. Естественные науки. – 2011. – № 5. – С. 11-15. 3. Евпак С.А., Мкртичян В.В. Об исследовании возможности применения q-ичных кодов Рида-Маллера в специальных схемах защиты информации от НСД // Обозрение При- кладной и Промышленной Математики. – 2011. – Т. 18. Вып. 2. – С. 268-269. 4. Евпак С.А., Мкртичян В.В. Применение q-ичных кодов Рида-Маллера в схемах специ- ального широковещательного шифрования // Труды научной школы И.Б. Симоненко. – Ростов-на-Дону: ЮФУ, 2010. – С. 93-99. 5. Pellikaan R., Wu X.-W. List decoding of q-ary Reed-Muller Codes // IEEE Trans. On Infor- mation Theory. – 2004. – Vol. 50 (4). – P. 679-682. 6. Деундяк В.М., Мкртичян В.В. Математическая модель эффективной схемы специально- го широковещательного шифрования и исследование границ ее применения // Известия вузов. Северо-Кавказский регион. Естественные науки. – 2009. – № 1. – С. 5-8. 7. Staddon J.N., Stinson D.R., Wei R. Combinatorial properties of frameproof and traceability codes // IEEE Trans. Inf. Theory. – 2001. – Vol. 47. – P. 1042-1049. 8. Fernandez M., Cotrina J., Sorario M. and Domingo N. A note about the traceability properties of linear codes // In Information Security and Cryptology – ICISC 2007 (LNCS 4817). – 2007. – P. 251-258. 9. Деундяк В.М., Мкртичян В.В. Исследование границ применения схемы защиты инфор- мации, основанной на РС-кодах // Дискретный анализ и исследование операций. – 2011. – Т. 18, № 1. – С. 21-38. Статью рекомендовал к опубликованию к.т.н., доцент Н.С. Могилевская. Евпак Сергей Александрович – Федеральное государственное автономное образователь- ное учреждение высшего профессионального образования «Южный федеральный универ- ситет»; е-mail: [email protected]; 344029, г. Ростов-на-Дону, пр. Маршала Жукова, 30/95, кв. 365; тел.: 89094142919; кафедра алгебры и дискретной математики факультета математики, механики и компьютерных наук; аспирант.

199 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Мкртичян Вячеслав Виталиевич – ФГАНУ НИИ "Спецвузавтоматика"; e-mail: [email protected]; 344015, г. Ростов-на-Дону, ул. Малиновского, 72/2, кв. 136; тел.: 88632202486, 89044417791; старший научный сотрудник. Yevpak Sergey Alexandrovich – Federal State-Owned Autonomy Educational Establishment of Higher Vocational Education “Southern Federal University”; е-mail: [email protected]; 30/95, Marshal Zhukov avenue, 365 flat, Rostov-on-Don, 344029, Russia; phone: +79094142919; the department of the algebra and discrete mathematics of the faculty of mathematics, mechanics and computer sciences; postgraduate student. Mkrtichan Vyacheslav Vitalievich – FSSI RI "Spetsvuzavtomatika"; e-mail: [email protected]; 72/2, Malinovskogo street, 136 flat, Rostov-on-Don, 344015, Russia; phones: +78632202486, +79044417791; senior researcher.

УДК 517.19

Е.А. Михайлова СИСТЕМА ЗАЩИТЫ МАК-ЭЛИСА В СЛУЧАЙНЫХ СЕТЯХ НА БАЗЕ СЕТЕВОГО КОДА РИДА-СОЛОМОНА*

Рассматривается задача защищенной от помех и наблюдателя передачи одной и той же информации от одного источника некоторому количеству получателей в сети неиз- вестной структуры. Задача решается на основе предложенного Кёттером и Кшишангом метода случайного сетевого кодирования. В этом методе сеть представляется графом неизвестной структуры, в узлах которого над пришедшими пакетами совершаются слу- чайные линейные преобразования. В работе построена модель сетевого канала, исполь- зующего линейное сетевое кодирование, рассмотрены предложенные Кёттером и Кши- шангом подпространственные сетевые коды Рида-Соломона, обеспечивающие эффектив- ную помехоустойчивую передачу данных по такому сетевому каналу. Представлены алго- ритмы кодирования и декодирования. Построена новая матричная интерпретация коди- рования, приведен соответствующий алгоритм. На базе сетевых кодов Рида-Соломона в их матричной интерпретации построена система защиты с открытым ключом, являю- щаяся некоторым аналогом известной криптосистемы Мак-Элиса. Целью построенной системы защиты является защищенная передача от одного отправителя, знающего от- крытый ключ, нескольким получателям, владеющим общим секретным ключом, некоторого одинакового набора данных. Приведены алгоритмы шифрования и расшифрования для по- строенной системы защиты, доказана теорема о корректности работы алгоритмов. В заключение построена симметричная версия системы защиты, изменены соответст- вующие алгоритмы, отмечены достоинства и недостатки симметричной версии. Помехоустойчивое кодирование; сетевые коды Рида-Соломона; случайная линейная сеть; система защиты с открытым ключом; криптосистема Мак-Элиса.

E.A. Mikhailova MCELICE SECURITY SYSTEM IN RANDOM NETWORK BASED ON REED-SOLOMON NETWORK CODE

The problem of error-correction transmission of the same data from one source to several receivers in wiretapped network of unknown structure is considered. The solution based on random network coding technique provided by Koetter and Kschischang. In this method network rep- resent as an unknown structured graph, where each intermediate node creates a random linear combination of the received data and transmits this random combination. The network channel model, using a linear network coding, is constructed. Network subspace Reed-Solomon codes pro-

* Работа подержана грантом ЮФУ на 2013 год ИТ-213.01-24/2013-147.

200

Раздел IV. Методы и средства криптографии и стеганографии vided by Koetter and Kschischang that guaranteed efficient error-correction data transmission are described. Encoding and decoding algorithms are introduced. A new matrix-based interpretation of coding is constructed, appropriate algorithm is given. Public-key security system based on network Reed-Solomon code in matrix version which is an analogue of the well-known McEliece cryptosystem is provided. The purpose of constructed security system is to transmit securely the same data from one source which is know the public key to more receivers which are know the private key. Encoding and decoding algorithms for constructed security system are given, the algorithm-validation theorem is proved. In conclusion the symmetric version of security system is constructed, appropriate algorithms are changed, the advantages and disadvantages of the symmetric version are noted. Error-correction coding; network Reed-Solomon codes; linear random network; public-key security system; McElise cryptosystem. 1. Введение. Рассматривается проблема защиты информации от помех и на- блюдателя. При передаче информации по обычному цифровому каналу применя- ются методы помехоустойчивого кодирования. Для борьбы с ошибками, возни- кающими из-за помех, разработано множество кодеков [1]. Помехи могут порож- дать не только ошибки, но и стирания, для борьбы с которыми применяют специ- альные методы (см., например, [2, 3]). Для борьбы с несанкционированным досту- пом используются различные криптографические методы [4], активно разрабаты- ваются кодовые криптосистемы, в частности, аналоги систем защиты Мак-Элиса [5]. Разумеется, эти же методы применимы и для передачи данных по сетям, со- стоящим из различных каналов связи. В последние годы интенсивно исследуется проблема распределенной переда- чи данных по специальным детерминированным и случайным сетям, для решения которой разрабатываются методы сетевого кодирования [6–9]. В этих работах рас- сматриваются ситуации, когда одного отправителя и нескольких получателей свя- зывает некоторая сеть, которую можно смоделировать графом, в узлах которого над полученными данными производятся линейные комбинации. Для таких сетей решается задача пересылки отправителем одинакового набора информации не- скольким получателям. Особый интерес представляют рассмотренные в работах [7, 8] случайные линейной сети, в предположении, что ни отправитель, ни получа- тели не знают ни структуру сети, ни линейных преобразований в промежуточных узлах. Теория сетевого кодирования находит широкое практическое применение. В [7] предложено применять детерминированные линейные сети, где известна структура сети и коэффициенты сумм, для передачи данных по компьютерным сетям, в [9] доказано, что данный способ для некоторых графов более быстрый, чем использующийся сейчас, когда промежуточные узлы лишь пересылают при- нимаемую информацию. Модель случайной линейной сети удобна для передачи данных по линейной сети, когда структура сети неизвестна. В работе [8] отмечено, что ситуация, когда структура сети неизвестна, близка к случаю передачи данных при помощи антенн. Целью настоящей работы является разработка на базе построенных в [8] се- тевых кодов Рида-Соломона матричной интерпретации кодирования и на ее основе кодовой сетевой системы защиты с открытым ключом типа криптосистемы Мак- Элиса. 2. Схема передачи данных по случайной сети. Сетевое кодирование. Для восстановления информации, передаваемой по сети, используется сетевое кодиро- вание. Схема состоит из одного источника, нескольких приемников, которым ис- точник должен передать одинаковую информацию, и некоторого множества про- межуточных узлов. Также предполагается, что на выходе источника стоит кодер сети, а на входе приемников – декодеры сети.

201 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Исходная информация представляется в виде информационных векторов длины k над полем Галуа , где q – степень простого числа. Каждый вектор по- ступает от источника на вход кодера сетевого канала. Кодер производит преобра- зования, после которых появляется набор из l векторов длины n, которые одновре- менно поступают на вход сетевого канала. С векторами, приходящими на некото- рый узел, сетевым каналом производятся неизвестные, а потому можно считать, что случайные, линейные комбинации над младшим полем. На выходе сетевого канала у каждого приемника на вход декодера сетевого канала поступает некото- рое количество векторов над тем же полем . Кроме того, предполагается, что на сетевой канал может оказываться влияние в виде шума, порождающее ошибки (введение нового случайного базисного вектора) и стирания (исчезновение неко- торого отправленного базисного вектора). Декодер некоторым образом преобразу- ет входящий набор векторов, и выдает один вектор исходной длины k над полем , который возвращается приемнику. Целью является случай, когда полученные приемниками векторы будут совпадать с отправленным. Суть метода Кёттера и Кшишанга [8] состоит в том, что если кодер сопостав- ляет информационному вектору подпространство, и передает по сети его базис, то линейные комбинации в узлах не будут выводить векторы из подпространства. Следует отметить, что из-за случайности линейных комбинаций в узлах может быть получена некоторая порождающая система вложенного в исходное подпро- странства. Кодек является помехоустойчивым. Приведем необходимые сведения из [8] о сетевых РС-кодах и выпишем для этих кодов алгоритмы кодирования и декодирования. Рассмотрим конечное поле и его расширение – поле , которое иногда будет удобно представлять как

векторное пространство . Это возможно в силу наличия биективного соответст-

вия между ними: . Выберем некоторое множество линейно независимых над

элементов . Кодирование будет выглядеть следующим образом. Пусть

– информационное сообщение, которое требуется пере- дать всем получателям. По информационному вектору строится информационный

линеаризованный многочлен . Для полученного многочлена во всех точках множества вычисляется

его значение: . Образуются пары , которые можно рас-

сматривать как элементы , принадлежащие объемлющему пространству

размерности . Поскольку множество состояло из линейно

независимых над элементов, то как элементы пространства множество пар является линейно независимым над , и, следова- тельно, порождает l-мерное пространство . Следует отметить, что все элементы порожденного подпространства имеют структуру . Действительно, в силу линеаризованности полинома, выполняется его основное свойство – линей- ность относительно младшего поля:

При этом любой элемент представим в виде

так как , то есть сохраняет искомую структуру.

Введем отображение вычисления , сопоставляющее век-

тору -мерное линейное пространство порожденное базисом из пар вида . Напомним, что через обозначают грассманиан пространства раз-

202

Раздел IV. Методы и средства криптографии и стеганографии

мерности , т.е. множество всех подпространств пространства указанной размер- ности. В [8] доказывается, что при отображение является инъективным. Далее везде будем считать, что . Образ отображения называют сетевым подпространственным кодом типа кода Рида-Соломона. Следует отметить, что хотя результатом кодирования явля- ется подпространство – элемент грассманиана, при этом реально по сети передает- ся не подпространство, а его базис, то есть элемент пространства Штифеля. Более того, для алгоритмов кодирования и декодирования удобно использовать как раз представление через базис передаваемого подпространства. На множестве вводится метрика и кодовое расстояние кода : , .

Минимальное кодовое расстояние сетевого РС-кода определяется по фор- муле . Такой код может исправить не более стираний и ошибок, где . Алгоритм 1. Кодирование сетевых кодов типа кода Рида-Соломона.

Вход: информационный вектор , параметр ,

множество линейно независимых над элементов , опре- деляющее код . Выход: базис кодового подпространства . 1. Для всех вычислить

. 2. Вернуть множество линейно независимых векторов . Для построения системы защиты в разделе 3 необходимо построить матрич- ную интерпретацию кодирования. Кодирование РС-кодов содержит два важных действия: вычисление линеаризованного полинома в заданном наборе точек и со- ставление пар вида «(точка, значение полинома)». Вычисление полинома, как и в случае канала, можно представить обычным умножением на матрицу Вандермон- да. Кроме того, требуется, чтобы все действия с точкой и значением в ней проис- ходили одновременно. Это можно записать в матричном виде и преобразовать ал- горитм кодирования 1:

Таким образом, кодовая матрица сетевого РС-кода, порожденного множест- вом будет иметь вид

(1)

Алгоритм 2. Матричное кодирование сетевых РС-кодов.

Вход: информационный вектор , кодовая матри- ца , определяющая код . Выход: базис кодового подпространства .

203 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

1. Построить матрицу

2. Вычислить . 3. Вернуть множество столбцов полученной матрицы , представив их как векторы над младшим полем . Опишем алгоритм декодирования из [9]. Алгоритм работает корректно при допущении не более допустимого количества ошибок и стираний , то есть, как отмечалось ранее, при . Алгоритм 3. Декодирование сетевых кодов типа кода Рида-Соломона.

Вход: порождающая система пространства .

Выход: информационный вектор , если произошло не более допусти- мого количества ошибок и стираний, или ошибка декодирования, иначе. 1. Найти произвольный базис подпространства : , . 2. Определить параметр . 3. При помощи алгоритма интерполяции из [8], найти ненулевой полином как сумму двух линеаризованных полиномов и , для которого все векторы , являются нулями. Если сте-

пень хотя бы одного многочлена превышает допустимую, т.е.

или , вернуть ошибку декодирования. 4. При помощи алгоритма правого деления линеаризованных полиномов из [9], с. 19, найти полином из уравнения , то есть

. Если вернулась ошибка, вернуть ошибку декодирования.

5. По коэффициентам найденного полинома найти и вер- нуть вектор . 3. Система защиты Мак-Элиса на сетевых РС-кодах. В построенной ниже системе с открытым ключом отправитель обладает конфиденциальной информа- цией, с помощью общеизвестного открытого ключа зашифровывает информацию и отправляет шифрограмму по случайной линейной сети получателям, владеющим секретным ключом расшифрования. Таким образом, проявляется одно из отличий от криптосистемы Мак-Элиса для канала, где рассматривался случай, когда мно- гим пользователям требовалось передать конфиденциальную информацию серве- ру, обладающему секретным ключом. В случае сети же наоборот, один отправи- тель шифрует общеизвестным открытым ключом сообщение, и отправляет его многим получателям, владеющим одним и тем же секретным ключом. На практике такой случай может быть, например, если разведчику требуется передать всем штабам одновременно конфиденциальную информацию. Впервые криптосистема с открытым ключом было предложена в работе Диффи и Хеллмана [10], а Мак-Элис предложил строить такие криптосистемы на основе помехоустойчивых линейных кодов [11]. Криптосистема Мак-Элиса на базе кодов Рида-Соломона была взломана Сидельниковым [5], однако аналогичная криптосистема на базе кодов Гоппы является не взломанной по настоящее время. В сетевом случае построим некоторый аналог криптосистемы Мак-Элиса в том смысле, что это по-прежнему будет криптосистема с открытым ключом на базе помехоустойчивого кода, но теперь уже не для канала, а для сети, и на базе сетевого кода. Кодирование сетевых кодов будем рассматривать с точки зрения построенной в разделе 2 его матричной интерпретации.

204

Раздел IV. Методы и средства криптографии и стеганографии

Как и в случае канала, защита строится от наблюдателя, который может час- тично или полностью перехватить передаваемое по сети сообщение, и, зная алго- ритмы шифрования, расшифрования и открытый ключ, пытается восстановить исходное сообщение. Целью криптосистемы является защитить передаваемую ин- формацию от такого наблюдателя. В случае криптосистемы Мак-Элиса для канала передачи данных на базе по- мехоустойчивого -кода открытый ключ является -матрицей , где – общеизвестная кодирующая -матрица кода, выбранного как раза крип- тосистемы, – произвольная невырожденная -матрица, – произвольная перемешивающая -матрица. Фактически матрица не меняет кода, матри- ца будет по-прежнему кодирующей для того же кода. Матрица перемешивает координаты кода, так как матрицы и отличаются лишь перестановкой столбцов. Распишем основные параметры сетевой криптосистемы. Секретный ключ: случайная невырожденная -матрица с первой строкой веса 1 над полем , случайная невырожденная -матрица с эле- ментами из поля . Открытый ключ: кодирующая -матрица сетевого РС-кода из урав- нения (1), -матрица над полем . По поводу генерации ключей системы защиты следует отметить, что матри- цы и можно генерировать случайным образом над соответствущем полем, а затем проверять, являются ли он невырожденными. Касательно дополнительного условия на вес первой строки матрицы , можно сначала случайно ее генериро- вать, затем случайным образом обнулить все элементы первой строки, кроме од- ного, а уже затее проверять ее невырожденность. Алгоритм 4. Шифрование.

Вход: информационное сообщение .

Выход: базис шифрограммы . 1. Построить матрицу

2. Вычислить . 3. Вернуть набор столбцов полученной матрицы , представив их как векто- ры над младшим полем . Следует сделать замечание, что в случае, когда заранее известно, что при пе- редаче по сети не будет появляться ошибок и стираний, можно для дополнитель- ной криптостойкости добавить ошибку максимально допустимого для декодера веса , то есть на третьем шаге алгоритма шифрования 4 вернуть новый базис, яв- ляющийся объединением базиса пространства с штук некоторых векторов. Алгоритм 5. Расшифрование. Вход: секретный ключ, порождающая система подпространства . Выход: информационное сообщение длины или ошибка декодирования. 1. Вычислить базис подпространства . 2. Найти индекс ненулевого элемента первой строки матрицы .

3. Преобразовать базисные пары по правилу . 4. Отправить полученные на предыдущем шаге алгоритма пары на вход алгоритма декодирования 2. Получить сообщение или ошибку декодирования. 5. Вычислить . Вернуть .

205 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Теорема. Алгоритмы шифрования 4 и расшифрования 5 работают коррект- но, то есть если было зашифровано некоторое информационное сообщение, и затем передано по сети получателям, то каждый получатель сможет восстано- вить алгоритмом расшифрования исходное информационное слово, если в полу- ченном слове было допущено не более исправимого кодом количества ошибок и стираний. Доказательство. Сначала проследим вклад при шифровании алгоритмом 4 невырожденной матрицы над младшим полем. В результате шифрования по сети фактически передается фиксированный ба- зис полученного подпространства. Однако по сути сети, объектом передачи является не фиксированный базис, а подпространство, порожденное этим базисом. Поэтому не имеет значения, какой именно базис подпространства будет передаваться. Для удобства будем дальше говорить, что множество столбцов - матрицы над полем определяет подпространство, подразумевая, что это под- пространство порождено линейно независимой системой, полученной при переводе множества столбцов во множество векторов длины над младшим полем . Шифрование определяется результатом вычисления произведения матриц . Матрица умножается слева на матрицу , и, кроме того, является невырожденной с элементами из младшего поля. Поэтому множество столбцов матрицы определяет то же подпространство, что и множество столбцов мат- рицы . По сути, подпространство не меняется, еняется лишь представляю- щий его базис. Более того, она никак не влияет и на вес ошибки при передаче, в отличие от случая обычного канала. Следует отметить, что матрица не добавляет зашумления шифрограмме, однако является дополнительным зашумляющим сред- ством для секретного ключа. Далее будем доказывать корректность работы алгоритмов, игнорируя матрицу . При подробном изучении, шифрование, уже без матрицы , будет выглядеть следующим образом:

(2)

где – линеаризованный многочлен, порожденный первой строкой матрицы , – линеаризованный многочлен, порожденный коэффициентами вектора . При описании секретного ключа требовалось, чтобы первая строка секретной матрицы имела единичный вес, поэтому результат шифрования будет иметь сле- дующий вид:

где – индекс ненулевого элемента первой строки от 1 до . Столбцы получен- ной матрицы будут линейно независимыми как векторы длины над полем , то есть действительно будут базисом некоторого подпространства.

206

Раздел IV. Методы и средства криптографии и стеганографии

При прохождении по сети с векторами полученной матрицы будут совершаться некоторые случайные линейные комбинации над младшим полем, и в результате каж- дый безошибочно полученный базисный вектор можно представить в виде:

где – некоторые неизвестные коэффициенты. В соответствии с алгоритмом расшифрования 5 с данными парами нужно провести преобразования:

. Таким образом, новые корректно полученные пары принимают вид:

то есть имеют структуру пар «(точка, значение в ней)». Аналогично преобразовы- ваются и векторы ошибок, но они продолжают оставаться случайными и неизвест- ными. Новые пары отправляются на вход алгоритма декодирования 3, и, если до- пущено не более допустимого количества ошибок и стираний, декодер возвращает вектор . Умножая на обратную к матрице получим искомый вектор:

Таким образом, пара алгоритмов работает корректно. Рассмотрим стойкость криптосистемы от наблюдателя. Для этого сначала по- строим модель наблюдателя. Наблюдатель может прослушивать любой фрагмент сети, то есть, в худшем случае, перехватить весь передаваемый базис шифрограммы. В случае, когда на- блюдатель перехватил порождающую систему недостаточной размерности, на- блюдатель может подбирать перебором недостающие векторы. Однако, будем предполагать, что в силе худший случай, и наблюдатель смог перехватить всю шифрограмму. Предполагается, что наблюдатель действует в условиях бесконечного времени. В соответствии с моделью криптосистемы, наблюдателю известен открытый ключ и неизвестен секретный. Таким образом, перед наблюдателем становится две задачи – либо совершать атаку на шифрограмму с целью получить расшифровку конкретной шифрограммы, либо совершать атаку на секретный ключ. Без знания секретного ключа наблюдатель не сможет преобразовать полу- ченные пары к искомой структуре и воспользоваться декодером. Таким образом, не проходит прямой алгоритм расшифрования и атака на шифрограмму. Атака на ключ предполагает факторизацию общеизвестной матрицы на состав- ляющие её матрицы , и при условии, что матрица известна. Как отмечалось раньше, в случае канала решена подобная задача взлома, когда – кодирующая матрица кода Рида-Соломона, – квадратная невырожденная матрица, а – квад- ратная перестановочная матрица [5]. Разрешенный случай отличается от рассмот- ренного в настоящей работе, поскольку здесь кодовая матрица имеет немного другой вид (по сравнению с матрицей Вандермонда здесь пропущены некоторые строки), а также матрица имеет более общий вид. Более подробное выяснение стойкости рассматриваемой криптосистемы при атаке на ключ не являлось целью настоящей работы.

207 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

4. Симметричная сетевая кодовая система защиты. В системе защиты, рассмотренной в предыдущем пункте, одной из особенностей является то, что матрица секретного ключа никак не влияет на расшифрование. В случае крипто- системы Мак-Элиса для канала матрица играет роль перестановки координат шифрограммы. Как отмечалось в теореме о корректности работы алгоритмов 4-5, матрица секретного ключа изменяет лишь базис зашифрованного подпростран- ства, однако не меняет самого подпространства. Результатом шифрования является набор линейно независимых векторов длины над полем . Если попытаться оставить логику перестановочной мат- рицы, то можно переставлять координаты шифрограммы уже после перехода к векторам над младшим полем. Однако в данном случае не удается сохранить логику системы защиты с от- крытым ключом – необходимо, чтобы и отправитель, и получатели знали секрет- ный ключ, неизвестный всем остальным. Таким образом, секретный ключ будет по-прежнему содержать матрицы и , но теперь добавляется случайная перестановочная -матрица над полем . Алгоритмы 4–5 изменятся следующим образом. В алгоритме шифрования изменится шаг 3 и добавится шаг 4: 3. Представить набор столбцов полученной матрицы их как векторы над младшим полем и записать их последовательно в столбцы - матрицы . 4. Вычислить произведение и вернуть множество столбцов полученной матрицы. В алгоритме расшифрования после шага 1 добавится шаг 1.1: 1.1. Полученные векторы базиса последовательно записать в -

матрицу . Вычислить произведение и передать на следующий шаг мно- жество столбцов полученной матрицы. Однако данный метод имеет ряд достоинств и недостатков. К достоинствам метода можно отнести то, что введение перестановочной матрицы увеличивает криптостойкость шифрограммы. Переход от младшего поля к старшему нельзя записать умножением на матрицу, а значит, полученная система защиты уже не будет системой защиты с открытым ключом, а станет симметричной, что с одной стороны является недостатком. Но при этом с другой стороны, ситуация, когда одному отправителю следует передать получателям зашифрованную известным им обоим секретным ключом информацию, является распространенной на практи- ке. Например, это может быть случай шифрованного цифрового телевидения.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК 1. Морелос-Сарагоса Р. Искусство помехоустойчивого кодирования. Методы, алгоритмы, применение. – М.: Техносфера, 2005. – 320 с. 2. Деундяк В.М., Михайлова Е.А. Применение матриц Вандермонда при передаче данных по q-ичному каналу со стираниями // Изв. ВУЗов. Северо-Кавказский регион. Естест- венные науки. – 2012. – № 3. – С. 5-9. 3. Михайлова Е.А. О реализации схемы В.Пана защиты информации в канале со стирания- ми // Математика и её приложения: Журнал Ивановского математического общества. – 2011. – Вып. 1 (8). – С. 75-78. 4. Шнайер Б. Прикладная криптография. – М.: ТРИУМФ, 2002. – 816 с. 5. Сидельников В.М. Теория кодирования. – М.: Физматлит, 2006. – 324 с. 6. Габидулин Э.М., Пилипчук Н.И., Колыбельников А.И., Уривский А.В., Владимиров С.М., Григорьев А.А. Сетевое кодирование // Труды МФТИ. – 2009. – Т. 1, № 2. – С. 3-28.

208

Раздел IV. Методы и средства криптографии и стеганографии

7. Alshwede R., Cai N., Li S.-Y. R., Yeung R.W. Network information flow // IEEE Trans. Inf. Theory. – 2000. – Vol. 46. – P. 1204-1216. 8. Koetter R., Kschischang F.R. Coding for errors and erasures in random network coding // IEEE Trans. Inf. Theory. – 2008 – Vol. IT-54, № 8. – P. 3579-3591. 9. Li S.-Y. R., Yeung R. W., Cai N. Linear network coding // IEEE Trans. Inf. Theory. – 2003. – Vol. 49. – P. 371-381. 10. Diffie W., Hellman M.E. New Directions in Cryptography // IEEE Trans. Inf. Theory. – 1976. – Vol. IT-22, № 6. – P. 644-654. 11. McEliece R.J. A Public Key Cryptosystem Based o Algebraic Coding Theory // JPL DSN Progress Rep. – 1978. – Vol. 42-44. – P. 114-116. Статью рекомендовал к опубликованию к.т.н., доцент Н.С. Могилевская. Михайлова Екатерина Александровна – Федеральное государственное автономное образова- тельное учреждение высшего профессионального образования «Южный федеральный универ- ситет»; e-mail: [email protected]; 344000, г. Ростов-на-Дону, ул. Красноармейская, 196, кв. 8; тел.: 89185879710; кафедра алгебры и дискретной математики; аспирантка. Mikhailova Ekaterina Aleksandrovna – Federal State-Owned Autonomy Educational Establishment of Higher Vocational Education “Southern Federal University”; e-mail: [email protected]; 196, Krasnoarmejskaya street, fl. 8, Rostov-on-Don, 344000, Russia; phone: +79185879710; the department of algebra and discrete mathematics; postgraduate student.

УДК 519.72

В.О. Осипян, Ю.А. Карпенко, А.С. Жук, А.Х. Арутюнян ДИОФАНТОВЫ ТРУДНОСТИ АТАК НА НЕСТАНДАРТНЫЕ РЮКЗАЧНЫЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ

Развитие ассиметричной криптографии началось с появления первой рюкзачной сис- темы защиты информации, когда в 1976 году Ральф Меркель и Мартин Хеллман предло- жили использовать разные ключи для прямого и обратного преобразования данных при шифровании. На данный момент эта модель, как и многие, основанные на ней были ском- прометированы. Как следствие, авторитет рюкзачных систем занижен. Тем не менее, некоторые из них, до сих пор считаются стойкими, например, модель, предложенная в 1988 году Беном Шором и Рональдом Ривестом. В данной работе сформулирована и реше- на задача аргументации криптографической стойкости нестандартных рюкзачных сис- тем защиты информации, которые допускают повторное использование элементов рюк- зака. Обоснованы диофантовы трудности, возникающие при поиске уязвимостей в указан- ных системах защиты информации. На основе анализа ранее предложенных рюкзачных моделей выявлены качественные особенности нестандартных рюкзачных систем, повы- шающие их стойкость к известным атакам. Рюкзачные системы защиты информации; стойкость алгоритма; криптографиче- ская атака, диофантовы трудности; рюкзачный алгоритм; рюкзачный вектор; исходное сообщение; открытый текст; ключ; шифртекст.

V.O. Osipyan, Yu.A. Karpenko, A.S. Zhuck, A.H. Arutyunyan DIOPHANTINE DIFFICULTIES OF ATTACKS ON NON-STANDARD KNAPSACKS INFORMATION SECURITY SYSTEMS

Development of the asymmetric cryptography started with the appearance of the first knapsack information protection system, when, in 1976, Ralph Merkel and Martin Hellman proposed to use different keys for forward and reverse mapping data for encryption. Now this model, like many based on are considered to be insecure. As a result the authority of knapsack systems was low.

209 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

However, some of these systems are still considered persistent, for example, the model proposed in 1988 by Ben Shore and Ronald Rivest. In the article stated and solved the problem of argumenta- tion of cryptographic strength of the non-standard knapsack information security systems. Justi- fied diophantine difficulties that arise in the study of vulnerabilities of the investigated information security systems. Revealed the qualitative features of non-standard knapsack systems that increase their resistance to known attacks. Knapsack information security system; resistance of algorithm; cryptographic attack; diophantine difficulties; knapsack algorithm; knapsack vector; original message; plain text; key; ciphertext. Введение. С точки зрения теоретических основ информационной безопасно- сти и разработки эффективных систем защиты информации следует обратить осо- бое внимание на то, что трудно разрешимые математические проблемы могут быть основой для систем сокрытия и защиты информации с требуемыми свойст- вами, а решения этих задач соответствуют ключам этих систем [1]. В то же время выбор проблемы позволяет получить систему защиты информации требуемого уровня надежности. В частности, согласно К. Шеннону [2], если этот выбор связан с проблемой, содержащей диофантовы трудности, или в целом, относится к классу -полных проблем. Традиционно, в основе всех стандартных рюкзачных систем защиты инфор- мации (РСЗИ) лежит NP-полная задача об укладке рюкзака или ранца . На сего- дняшний день предложены и модели РСЗИ на основе задачи о нестандартном рюкзаке [3], для которого допустимо повторения элементов рюкзака. Наиболее общей из них является модель на основе обобщенно рюкзака. Так же предло- жены и исследованы [4] модели и на основе задач о универсальном и функциональном рюкзаках соответственно. Задача (о стандартном рюкзаке). Дан рюкзачный вектор с натуральными компонентами , . По заданному входу определить такой набор индексов , для которого имеет место равенство:

Первые из таких систем были описаны еще в 1978 году Р. Мерклем и М. Хеллманом [5]. Ими была предложена идея линейного преобразования рюкзака посредством сильного модульного умножения. Позднее в протоколе Шора-Ривеста [6], в отличие от протокола Меркеля-Хеллмана, рюкзак представлял собой набор логарифмов в мультипликативной группе поля и обладал повышенной плотностью по сравнению с рюкзаком Меркля-Хеллмана. Приведем постановки задач о нестандартных рюкзаках. Задача (об обощенном рюкзаке). Дан рюкзачный вектор с натуральными компонентами , , а также – ограничение на количество повторений любой из ком- понент вектора . По заданному входу необходимо найти такой набор ко- эффициентов повторений , для которого имеет место равенство:

В отличие от классической задачи , где i-ый предмет либо кладется в рюкзак, либо нет, в данной задаче – можно класть в рюкзак несколько экземпля- ров i-го предмета.

210

Раздел IV. Методы и средства криптографии и стеганографии

Задача (об универсальном рюкзаке). Дан рюкзачный вектор с натуральными компонентами , а также ограничения на количество повторений , то есть число вхождений компоненты не превосходит . По заданному входу и ограничениям определить такой допустимый набор коэффициентов повторений , для которого имеет место равенство (2). Задача (о функциональном рюкзаке). Дан функциональный рюкзачный вектор с компонен- тами , , являющимися целочисленными функциями от переменной . Даны также – целочисленная функция от переменной и число . По заданному входу и точке необходимо найти такой набор ко- эффициентов повторений , для которого имеет место равенство:

Элементы функционального рюкзака являются не целыми числами, а цело- численными функциями. Все вопросы моделирования универсальных, а следова- тельно, и обобщённых, и стандартных систем защиты информации с незначитель- ными поправками переносятся в теорию моделирования функциональных систем защиты информации. Исследование функциональных систем защиты информации выход за рамки данной работы. Исследованию задач о рюкзаке уделено большое внимание в литературе. Широкий спектр таких задач, алгоритмы решения и их реализации описаны, на- пример, С. Мартелло [7]. При решении подобных задач оптимизация основана на поиске верхних и нижних границ для решений. Ограничения выводятся из допол- нительного условия на максимизацию или минимизацию некоторой функции. Аналогичные рассуждения теряют смысл при исследовании РСЗИ, ведь все они строятся над конечными полями, а неравенства, имеющие место на множестве це- лых чисел, теряют смысл в мультипликативных группах полей. Рассмотрим проблему об атаках на рюкзачные системы и возможности их применения к нестандартным рюкзачным системам, основанным на задаче об универсальном рюкзаке. Анализ математических моделей стандартных рюкзачных систем защиты информации. Первой системой защиты информации на основе задачи о рюкзаке был протокол Меркеля-Хеллмана [8]. Это ассиметричная модель, которая предполагает двоичное кодирование сообщения как входа для некоторого сверх- растущего рюкзачного вектора . Под действием модульного умножения этот век- тор «маскируется» вектором : , где . (4) Для восстановления полученного сообщения принимающая сто- рона использовала векторы , и пару параметров , необходимых для об- ратного модульного умножения. В 1982 году Шамир [9], ссылаясь на теорему Ленстра о задаче целочисленно- го программирования с конечным числом переменных, предложил атаку на стан- дартную рюкзачную систему защиты информации Меркеля-Хеллмана. Согласно предложенному алгоритму для указанных систем удаётся определить новую «ла- зейку» – наименьшие и , применимые вместо исходных и . При этом, во- первых, вектор сверхрастущий, а во-вторых, .

211 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

При создании сверхрастущего рюкзачного вектора в системе Меркеля- Хеллмана предполагалось ограничение, согласно которому каждый следующий элемент ограничен снизу суммой всех предыдущих, а сверху – удвоенным зна- чением . Как отмечает Шамир [9] время для его атаки полиномиально зависит от дли- ны рюкзака и экспоненциально от константы пропорциональности

(5)

Подобные оценки приводит и Ленстра [10]. При доказательстве теоремы ис- пользуется алгоритм поиска решения, полиномиальный по времени, но не от – количества переменных, а от экспоненты, примененной к . На основе техники, предложенной Шамиром, позднее были реализованы ата- ки и на другие двоичные модификации стандартной РЗСИ. После атаки Шамира последовала серия новых моделей и идей по улучше- нию скомпрометированной. Однако, эти предложения объединяла одна общая де- таль. Они включали этап, на котором происходила укладка некоторого стандарт- ного рюкзака. Одна из самых известных стандартных рюкзачных систем защиты информации предложена в 1988 Беном Шором и Рональдом Ривестом. Это была первая система, которая не использовала модульное умножение для того, чтобы скрыть рюкзачный

вектор. Вместо этого использовалась арифметика конечных полей Галуа . В стандартном случае при и в 1998 году Ваундау [11] уда- лось найти уязвимость в системе Шора-Ривеста. Хотя в скором времени эту уяз- вимость удалось устранить, применив новые значения параметров и . Среди прочих особенностей атака использовала малую плотность рюкза- ка. Так для Шора-Ривеста плотность составляла:

(6)

Исследования атаки Вандау и её обобщения [12] показали, что лишь при можно добиться стойкости системы Шора-Ривеста. Для достижения таких значений плотности целесообразно отказаться от ограничений на повторное ис- пользование элементов рюкзака, что характерно для нестандартных РСЗИ. Математические модели нестандартных рюкзачных систем защиты информации. В серии работ [3], [4], [13] и других предложены рюкзачные модели защиты информации, принципиально отличающиеся от всех описанных ранее. Общей их особенностью является то, что в отличие от стандартного случая, допустимы по- вторения компонент. Сообщение в этой модели сообщение разбивается на буквенные блоки, вместо которых далее рассматриваются их числовые эквиваленты . Параметры и преобразования простейшей схемы на основе нестандартного рюкзака можно представить следующим образом:  Параметры системы: основание системы, размер рюкзачных векторов и вектора ограничений на количество повторений элементов рюкзака: (7)  Закрытый ключ: элемент для модульного умножения и сверхрастущий рюкзачный вектор:

(8)  Открытый ключ: (9)  Прямое преобразование: для входа вычисляется спектр :

(10)

212

Раздел IV. Методы и средства криптографии и стеганографии

 Обратное преобразование: спектр входа применяется к рюкзаку , за- тем выполняется обратное модульное умножение:

(11)

Рассмотрим возможность применения атак на системы, заданные условиями – . Особый интерес представляют техники, не требующие получения части закрытого ключа. Перейдем к анализу математических моделей нестандартных рюкзачных сис- тем защиты информации . Классической атака на рюкзачные системы стандарт- ного вида [5] не требует даже частичных знаний о закрытом ключе. Как уже было отмечено выше, атаки такого типа экспоненциально зависят от параметра системы (5). Для нестандартных РСЗИ эта константа равна одному из основных параметром. Как следствие, для таких систем диофантова аппроксимация не применима. Еще одним преимуществом использования спектров с повторениями являет- ся увеличение множества допустимых значений входа [3]. Для достаточно боль- ших и даже при это еще больше усложняет определение рюкзака по мето- ду Шамира. Таким образом, плотность рюкзака не уменьшается при увеличении разницы между элементами рюкзака. В пользу увеличения параметра говорит и наличие методов компрометиро- вания рюкзачных систем с малым количеством повторяющихся элементов [14]. На- пример, это касается систем, при моделировании которых используется несколько независимых рюкзаков, множества элементов которых могут пересекаться. Оценим мощность множество различных значений входа: Лемма 1.

Для системы (7)-(11) при допустим любой вход

то есть найдется единственный такой, что . Рюкзачный вектор, для которого допустим любой вход от минимального до максимального, называется плотным. Данная лемма дает представление о том, каким образом следует задавать параметр :

Лемма 2.

Для системы (7)-(11) при . для любого входа из его допустимости следует единственность соот- ветствующего спектра. Доказательство: Допустим, для входа нашлись два различных спектра и :

Пусть – наибольший индекс, для которого . Можно считать, что . Тогда

213 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Использование рюкзачных векторов указанного вида гарантирует однознач- ность прямого преобразования. Рассмотрим возможность применения атаки типа Шамира на систему (7)–(11), удовлетворяющую условиями Леммы 2. Без ограничения общности можно считать, что компоненты вектора представлены в порядке убывания. Напомним, что целью атаки является поиск такого модуля , не обязательно равного , и сверхрасту- щего вектора , для которых:

В качестве ограничения на можно взять . Для поиска следу-

ет рассмотреть все и исследовать графики функции при неизвестном . Эти графики имеет форму пилы с расстоянием между минимумами

(рис. 1).

Рис. 1

Из ограничений на наибольший элемент сверхрастущего рюкзачного вектора

и следует, что должен быть достаточно бли- зок одному из минимумов функции .

Эти минимумы можно искать в виде , где – номер минимума графика

. Множитель попадает в пересечение промежутков для различных

. Так как значение не известно, то использование модели, изображенной на рис. 1 сопряжено с трудностями. Шамир предложил заменить единицей, ведь интерес представляют точки скопления минимумов для различных . Шамир свел поиск таких точек к системе двойных неравенств:

Таким образом, поиск значения , задающего обратное модульное умноже- ние, сводится к приближенному решению системы диофантовых уравнений. При решении системы (12) для обеспечения эффективности требуются корректные значения . Верхнюю границу на значения таких параметров в случае стан- дартных рюкзачных систем были предложены в работе [9]: Теорема 1.

Для кривых и условная вероятность получения не менее чем точек скопления, при условии наличия всего одной не превосходит:

214

Раздел IV. Методы и средства криптографии и стеганографии

(13)

Если количество точек не более чем , и имеет порядок , то сложность атаки останется полиномиальной от В противном случае атака признается не эффективной. Теорема 1 оценивает вероятность неудачи при проведении эффек- тивной атаки по методу Шамира [9]. Как заметил Шамир, полученное обоснование эффективности диофантовой аппроксимации теряет силу, если отношение модуля и элемента превосходит 2. Как следует из Леммы 2, для рюкзачных систем нестандартного типа это отно- шение равно . Заключение. Таким образом, рассмотрены особенности атак на исследуемые рюкзачные системы защиты информации и выявлены особенности, позволяющие применять известные в литературе атаки. На основе проделанного анализа были уточнены значения параметров для нестандартных РЗСИ, гарантирующих их стойкость. Выявлен набор атак, применимых для нестандартного случая. Среди них выявлена наиболее универсальная – атака типа Шамира, которая использует только открытый ключ. На основе проведенного обзора классических рюкзачных систем в целом и рюкзачных систем на основе нестандартного рюкзака в частно- сти, показано, что подобная техника приближенного решения диофантовых урав- нений не приводит к успеху в обобщенном случае, даже при и , где – предполагаемое время атаки. Итак, наряду с системой Шора-Ривеста, в семействе рюкзачных систем защи- ты информации по праву безопасными являются РСЗИ, основанные на задаче о нестандартном рюкзаке.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК 1. Саломаа А. Криптография с открытым ключом. – М.: Мир, 1995. 2. Шеннон К. Работы по теории информации и кибернетики. – М. 1963. – 832 с. 3. Осипян В.О. О системе защиты информации на основе проблемы рюкзака // Известия Томского политехнического университета. – 2006. – Т. 309, № 2. 4. Осипян В.О. Моделирование систем защиты информации содержащих диофантовы трудности. LAP LAMBERT Academic Publishing, 2012. 5. Diffie W., Hellman M. New directions in cryptography // IEEE Transactions on Information Theory. – 1976. – Vol. 22. – P. 644-654. 6. Rivest R.L., Chor B. A knapsack-type public key cryptosystem based on arithmetic in finite fields // IEEE Transactions on Information Theory. – 1988. – Vol. 34, № 5. – P. 901-909. 7. Martello S. T.P. Knapsack problems : algorithms and computer implementations // Chichester: JOHN WILEY & SONS. – 1990. – P. 137-138. 8. Merkle R.C., Hellman M.E. Hiding Information and Signatures in Trapdook Knapsacks. – 1978. – № 24. – P. 525-530. 9. Shamir A. A polynomial-time algorithm for breaking the basic Merkle - Hellman cryptosystem // Information Theory, IEEE Transactions. – 1984. – Vol. 30, № 5. – P. 699-704. 10. Lenstra, Jr. H.W. Integer Programming with a Fixed Number of Variables // Mathematics of Operations Research. – 1983. – Vol. 8, № 4. – P. 538-548. 11. Vaudenay S. Cryptanalysis of the Chor-Rivest cryptosystem // CRYPTO. – 1998. – P. 243-256. 12. Izu T., Kogure J., Koshiba T., and Shimoyama T. Low-density attack revisited // Design, Codes and Cryptography. – 2007. – Vol. 43, № 1. – P. 47-59. 13. Осипян В.О., Спирина С.Г., Арутюнян А.С., Подколзин В.В. Труды VII Международной конференции "Алгебра и теория чисел: современные проблемы и приложения", посвященной памяти профессора А.А. Карацубы // Моделирование ранцевых криптосистем, содержащих диофантову трудность. – 2010. – Т. 11. – С. 209-216.

215 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

14. Odlyzhko A.O. Cryptanalytic attacks on the multiplicative knapsack cryptosystem and on Shamir's fast signature scheme // IEEE Transactions on Information Theory. – Jul 1984. – Vol. IT-30, № 4. – P. 594-601. Статью рекомендовал к опубликованию д.т.н., профессор Р.З. Камалян. Осипян Валерий Осипович – Кубанский государственный университет; e-mail: [email protected]; 350040, г. Краснодар, ул. Ставропольская, 149; тел.: 89184651399; кафедра информационный технологий; д.ф.-м.н.; профессор. Жук Арсений Сергеевич – e-mail: [email protected]; тел.: 89654620300; аспирант. Арутюнян Ашот Хоренович – e-mail: [email protected]; тел.: 89180319557; аспирант. Карпенко Юрий Александрович – Адыгейский государственный университет; e-mail: [email protected]; 385000, г. Майкоп, ул. Свободы, 233, кв. 71; тел.: 89184651399; аспирант. Osipyan Valeriy Osipovich –Kuban State University; e-mail: [email protected]; 149, Stavro- pol’skaya street, Krasnodar, 350040, Russia; phone: +79184651399; the department of information technology; dr. of phis.-math. sc.; professor. Karpenko Yuriy Aleksandrovich – Adyghe State University; e-mail: [email protected]; 233 / 71, Svobody street, Maikop, 385000; phone: +79184651399; postgraduate student. Zhuck Arseniy Sergeevich – mail: [email protected]; phone: +79654620300; postgraduate student. Arutyunyan Ashot Horenovich – e-mail: [email protected]; phone: +79180319557; postgraduate student.

УДК 681.03.245

Л.К. Бабенко, Е.А. Ищукова ФИНАЛИСТЫ КОНКУРСА SHA-3 И ОСНОВНЫЕ СВЕДЕНИЯ ОБ ИХ АНАЛИЗЕ*

В последние годы в научном мире наблюдается повышенный интерес к проектирова- нию и анализу алгоритмов хэширования. Наряду с анализом уже существующих функций хэширования, предлагаются новые, заявляемые авторами как более надежные. Кроме того, предлагаются новые методы анализа, которые, как правило, рассчитаны на довольно широ- кий класс алгоритмов хэширования. Подтверждением тому служит конкурс на принятие нового стандарта хэширования SHA-3, недавно завершенный Национальным институтом стандартов и технологий США. В настоящей статье рассматриваются основы построения функций хэширования, которые явились финалистами конкурса SHA-3. Рассматриваются следующие хэш-функции: BLAKE, Skein, JH, Keccak, Grostl. Для каждой функции рассматри- ваются основные шаги преобразования и составляющие компоненты. Так, в частности, в составе функции хэширования Skein описывается новый блочный алгоритм шифрования Threefish. Также в статье приводятся основные сведения, известные на данный момент, об основных результатах анализа рассматриваемых функций хэширования. Криптграфия; анализ; функция хэширования; надежность; стойкость; шифр.

* Работа выполнена при поддержке грантов РФФИ №12-07-31120_мол_а, №12-07- 33007_мол_а_вед, № 12-07-00037-а.

216

Раздел IV. Методы и средства криптографии и стеганографии

L.K. Babenko, E.A. Ischukova COMPETITION FINALISTS OF SHA-3 AND INFORMATION ON THEIR ANALYSIS

In recent years, in the scientific world has been an increased interest in the design and analysis of hash algorithms. Along with the analysis of existing hash functions, are offered new, claimed by authors as being more reliable. Besides, the new methods of the analysis generally calculated on quite wide class of hashing algorithms are offered. Confirmation to that is competition on adoption of the new standard of hashing SHA-3 which has been recently finished by Na- tional institute of standards and technologies. The article discusses the basics of building hashing functions , which were the finalists SHA- 3. It covers the following hash functions: BLAKE, Skein, JH, Keccak, Grostl. The basic steps of transformation and its component parts are considereds for each function. Thus, in particular, a new block cipher algorithm Threefish is described in the Skein hash function. The article also provides the basic information of the known at the moment, Also its provides the main results of the analysis under consideration hashing functions . Cryptography; analysis; hash function; reliability; strength; cipher. В последние годы в научном мире наблюдается повышенный интерес к проек- тированию и анализу алгоритмов хэширования. Об этом свидетельствует большое количество статей, посвященных хэш-функциям, представляемым на мировых конфе- ренциях по криптографии CRYPTO и EUROCRYPT. Авторами этих статей часто яв- ляются люди, стоящие у истоков современной криптографии, такие как Эли Бихам (Eli Biham), Ади Шамир (Adi Shamir), Барт Пренил (Bart Preneel), Ларс Кнудсен (Lars R. Knudsen), Рональд Ривест (Ronald L. Rivest), Алекс Бирюков (Alex Biryukov), Орр Дункелман (Orr Dunkelman), Винсент Рижмен (Vincent Rijmen) и др. Наряду с анализом уже существующих функций хэширования, предлагаются новые, заявляемые авторами как более надежные. Кроме того, предлагаются новые методы анализа, которые, как правило, рассчитаны на довольно широкий класс алгоритмов хэширования. Подтверждением тому служит конкурс на принятие но- вого стандарта хэширования SHA-3, недавно завершенный Национальным инсти- тутом стандартов и технологий США (НИСТ – National Institute of Standards and Technology (NIST)). В 2002 году в США был принят стандарт Federal Information Processing Standard 180-2 (FIPS 180-2), определявший 5 основных функций хэши- рования SHA-1, SHA-224, SHA-256, SHA-384 и SHA-512. Появление серии работ японских ученых, направленных на анализ алгоритмов семейства SHA [1–3], по- зволило усомниться в стойкости данного стандарта. Так, в работе [3] заявлено, что для алгоритма SHA-1 возможно выполнить поиск коллизий. Несмотря на то, что работы [1–3] не содержат полных сведений о методах, предложенных для анализа, и на заявление сотрудника НИСТ Вильяма Бюрра (William E. Burr) о том, что ме- тод поиска коллизий, предложенный в работе [3] до сих пор никем не подтвер- жден, в ноябре 2007 года стартовал проект, направленный на поиск и принятие стандарта нового поколения SHA-3. При этом на сайте НИСТ были опубликованы сведения о том, что после 2010 года алгоритм SHA-1 не должен быть использован для ЭЦП и любых других приложений, требующих устойчивости к поиску колли- зий (здесь и далее данные взяты с сайта Национального института стандартов и технологий США http://csrc.nist.gov). На конкурс SHA-3 был представлен 51 алгоритм, о чем было объявлено в де- кабре 2008 г. В результате первого раунда конкурса, который завершился в июле 2009 г. было отобрано 14 претендентов: BLAKE (автор Jean-Philippe Aumasson), Blue Midnight Wish (автор Svein Johan Knapskog), CubeHash (автор D.J. Bernstein), ECHO (автор Henri Gilbert), Fugue (автор Charanjit S. Jutla), Grøstl (автор Lars Ramkilde Knudsen), Hamsi (автор Ozgul Kucuk), JH (автор Hongjun Wu), Keccak

217 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

(автор Joan Daemen), Luffa (автор Dai Watanabe), Shabal (автор Jean-Francois Misarsky), SHAvite-3 (автор Orr Dunkelman), SIMD (автор Gaetan Leurent), Skein (автор Bruce Schneier). 9 декабря 2010 г. NIST объявил о начале третьего этапа конкурса. В течение года институтом принимались дополнительные исследования всех заинтересованных сто- рон, посвященные исключительно пяти финалистам: Blake, Grostl, JH, Keccak и Skein. Создателям позволили вносить незначительные изменения в их алгоритмы вплоть до 16 января 2011 г. С этого времени алгоритмы считались полностью спроектированны- ми и NIST выделил еще один год для их публичного рассмотрения. Победитель был объявлен в начале 2013 г. Им оказалась функция хэширования Keccak (автор Joan Daemen). Несмотря на то, что в качестве стандарта был выбран всего один алгоритм, все пять финалистов заслуживают особого внимания. Во-первых потому, что в них предложены новые для криптографии подходы к построению современных функций хэширования. Во-вторых потому, что все пять финалистов являются "сильными" функциями и предположительно не уступают друг другу в стойкости. В настоящей статье мы предлагаем ознакомиться с основными принципами, лежащими в основе построения новых функций хэширования – финалистов конкурса SHA-3. А также рас- смотреть основные подходы, которые к настоящему времени применялись для их ана- лиза, и полученные с их помощью результаты. Функция хэширования Skein. Skein представляет собой новое семейство функций хэширования, которые могут оперировать блоками данных различной длины: 256, 512 и 1024 битов. Любой из вариантов функции Skein может быть применим для получения любой длины хэш-значения. Изюминкой Skein является идея построения функции хэширования на основе нового класса блочных шиф- ров, так называемых Настраиваемых Блочных шифров (Tweakable Block Ciphers (TBC)). Говоря более точно Skein основывается на трех новых компонентах. На настраиваемом блочном шифре Threefish, на уникальной блочной итерации (Unique Block Iteration (UBI)), а также на выборочной системе параметров. Алгоритм Threefish является настраиваемым блочным шифром, в котором помимо открытого текста и секретного ключа используется еще один дополнитель- ный вход (tweak-значение), играющий роль вектора инициализации. Алгоритм Threefish может быть применим к блокам данных различной длины: 256, 512 и 1024 битов. Секретный ключ имеет такую же размерность, как и шифруемый блок дан- ных, tweak-значение имеет размер 128 битов для любого шифруемого блока данных. При разработке алгоритма Threefish авторы руководствовались тем принци- пом, что большое число простых раундов обеспечивает шифру большую надеж- ность, чем малое число сложных раундов. Поэтому в основе шифра Threefish ле- жит всего три простых математических операции: операция сложения по модулю два (XOR), целочисленное сложение по модулю и циклический сдвиг. Все эти операции очень быстро выполняются на современных 64-битных процессорах. На рис. 1 представлена основная составляющая часть алгоритма Threefish, ко- торая заключается в простой нелинейной функции перемешивания MIX-функции, оперирующей двумя 64-битными блоками данных. Каждая MIX-функция состоит из целочисленного сложения, циклического сдвига и операции XOR. Уникальная блочная итерация (Unique Block Iteration (UBI)) – это режим сце- пления блоков, который объединяет входные связующие данные G с входными последовательностями произвольной длины M и вырабатывает выходное сообще- ние фиксированного размера. На рис. 2 показана работа режима UBI для функции Skein-512, обрабатывающей входную последовательность длиной 166 байтов. Со- ответственно входная последовательность разбита на три блока и таким образом обращение к алгоритму Threefish выполняется трижды.

218

Раздел IV. Методы и средства криптографии и стеганографии

Rd,i <<<

Рис. 1. MIX-функция алгоритма Threefish

M0 M1 M2

длина: 64 длина: 128 длина: 166 первый: 1 первый: 0 первый: 0 последний:0 последний:0 последний:1

Рис. 2. Хэширование трехблочного сообщения с использованием режима UBI

Блоки сообщения M0 и M1 содержат по 64 байта каждый, последний блок M3 содержит всего 38 байтов хэшируемого сообщения. Tweak-значение для каждого обрабатываемого блока содержит в себе данные о числе обработанных байтов, а также сведения о том является ли обрабатываемый блок первым или последним в обрабатываемой цепочке. Кроме того tweak-значение содержит еще поле «тип» не показанное на рис. 2, которое используется для того, чтобы режим UBI каждый раз работал по-новому. Таким образом, tweak-значение является основой работы UBI режима. Ис- пользование настраиваемого блочного алгоритма шифрования в составе UBI ре- жима гарантирует, что каждый блок будет обработан c использованием уникаль- ного варианта сжимающей функции. Выборочная система параметров позволяет семейству Skein поддерживать различные комбинации исходных параметров без использования дополнительных средств и приложений.

219 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Функция хэширования Skein построена на многократном обращении к режиму UBI. На рис. 3 показана схема обычной функции хэширования Skein. В качестве на- чальных связующих данных используется значение 0. В процессе выработки хэш- значения режим UBI используется трижды. Первый раз для обработки конфигура- ционного блока данных, второй раз для обработки сообщения, для которого должно быть получено хэш-значение (максимальная длина обрабатываемого сообщения не должна превышать 296 -1 байтов). В третий раз (выходное преобразование) режим UBI обрабатывает нулевое входное сообщение, что обеспечивает дополнительное перемешивание информации. В результате трехкратного применения режима UBI на выходе будет сформировано хэш-значение фиксированной длины. Конфигурационные Сообщение М 0 данные

0 UBI UBI UBI

Тип: Cfg Тип: Msg Тип: Out Рис. 3. Обычная функция хэширования Skein

Функция хэширования BLAKE. Авторами функции BLAKE являются Жан- Филипп Омассон (Jean-Philippe Aumasson), Лука Хензен (Luca Henzen), Уилли Мейер (Willi Meier) и Рафаэль Фан (Raphael Phan). В основе функции лежат ранее представленные авторами алгоритмы, извест- ные как LAKE и ChaCha. Функция BLAKE построена по усиленной схеме Меркля- Дамгаарда. Допустимые размеры выходных значений: 224, 256, 384 и 512 бит. Алгоритм разбивает данные на блоки по 512 бит (для 224- и 256-битных хэш-значений) или по 1024 бит (для 384- и 512-битных хэш-значений). Допустимые размеры выходных значений могут быть 224, 256, 384 и 512 бит. В табл. 1 приведены основные параметры хэш-функции BLAKE. Таблица 1 Основные параметры хэш-функций BLAKE (размеры в битах) Алгоритм Слово Сообщение Блок Обзор Синхропосылка BLAKE - 224 32 < 264 512 224 128 BLAKE - 256 32 < 264 512 256 128 BLAKE - 384 64 < 2128 1024 384 256 BLAKE - 512 64 < 2128 1024 512 256 Рассмотрим основные принципы работы функции хэширования BLAKE на при- мере ее разновидности BLAKE-256. Функция BLAKE-256 работает с 32-битными сло- вами, а возвращает 32-байтное хэш-значение. BLAKE-256 начинает хэширование с использования инициализирующих значений, так же как это было в SHA-256. Используются 8 векторов инициализа- ции IV0 ... IV7. Так же функция BLAKE-256 использует 16 констант, определенных ее разработчиками с0 ... с15. Во всех функциях BLAKE используются десять пере- становок, которые заданы специальными таблицами.

220

Раздел IV. Методы и средства криптографии и стеганографии

Функция сжатия BLAKE-256 использует 4 входных значения:  начальное значение h=h0,…,h7;  блок данных m=m0,…,m15;  синхропосылка s=s0,…,s3;  счетчик t=t0,t1. Эти четыре входных значения представляют собой 30 общих слов (120 байт=960 бит). На выходе функции получается новые значения h'=h'0,…,h'7 из восьми слов (32 байта=256 бит). Шестнадцать слов v0,…,v15 инициализируются, следующим образом:       h h h h   0 1 2 3   0 1 2 3   4  5  6  7   h4 h5 h6 h7        s  c s  c s  c s  c   8 9 10 11   0 0 1 1 2 2 3 3       12  13  14  15   t0  c4 t0  c5 t1  c6 t1  c7 

Раунд функции. Положение v инициализируется, после чего сжатие функции повторяется последовательно 14 раундов. Раунд преобразует положение v с ис- пользованием функции Gi: G ,,,;     G ,,,;     G ,,,;     0 0 4 8 12 1 1 5 9 13 2 2 6 10 14 G4 0,,,;  5  10  15  G5 1,,,;  6  11  12  G6 2,,,;  7  8  13  G ,,,;     3 3 7 11 15 G7 3,,,.  4  9  14  В течение раунда r для функции Gi (a, b, c, d) проходят следующие преобра- зования: a  a  b  m  c   r (2i)  r (2i1) d  (d  a) 16 c  c  d b  (b  c) 12

a  a  b  m  c   r (2i1)  r (2i) d  (d  a) 8 c  c  d b  (b  c)  7 Значения G0,…,G3 могут быть рассчитаны параллельно, потому что каждый из них модернизирует отдельный столбец матрицы. Назовем процедуру вычисления G0,…,G3 шагом столбца. Так же, последние четыре значения G4,…,G7 модернизируют отдельные диагонали, которые назовем

диагональным шагом. В раундах, где r > 9 используется перестановка  r mod10. Рис. 4 и 5 илюстрируют работу функции Gi, шаг столбца и диагональный шаг. После прохождения всех раундов преобразования, новые полученные значе- ния h'0,…,h'7 выглядят следующим образом:

221 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

h0  h0  s0  0  8

h1  h1  s1  1  9

h2  h2  s2  2  10 h  h  s   3 3 3 3 11 h4  h4  s0  4  12

h5  h5  s1  5  13

h6  h6  s2  6  14

h7  h7  s3  7  15

С (2i 1) С (2i) r r

m (2i) m (2i 1) r r

а а

b >>> 12 >>> 7 b c c

d >>> 16 >>> 8 d

Рис. 4. Функция Gi

G G 0 G 2 5 V V V V 3 G 4 0 1 2 V V V 0 V 2 V V V V 7 1 3 4 5 6 V V V 4 V 6 V7 V V V 5 8 9 10 11 V8 V V V V 9 10 11 V V V 15 V V 12 13 14 12 V13 14 V15

G 7 G G1 3 G 6 Рис. 5. Шаг столбца и диагональный шаг

222

Раздел IV. Методы и средства криптографии и стеганографии

Обычно, для повторного хэширования, первое сообщение дополняется по следующему принципу. Первоначально сообщение расширяется таким образом, чтобы его длина была сравнима со значением 447 mod 512. Для этого в начале и в конце дополняемого блока ставится бит, равный 1, а все промежуточные биты принимают значение 0: m m1000...0001 l . 64

Последние 64 бита расширенного блока содержат значение l64 , указывающее длину хэшируемого сообщения m. Если исходное сообщение содержит несколько блоков (в том числе и последний дополненный блок), то хэширование осуществляется в несколько итераций с последо- вательной обработкой блока. Дополненное сообщение разбивается на 16 слов mm01,..., N  . Допустим, что l i номер битового сообщения, а m0,...,mi это ис- ключающие биты дополнения. Например, начальное (без дополнения) сообщение длиной 600 бит, тогда сообщение с дополнением имеет 2 блока l 0  512 ,l1  600. Основное правило: если счетчик содержит 0, то последний блок не содержит в себе

биты от начального сообщения, это гарантирует что i  j , когда li  l j . Синхропосылка s выбирается пользователем и равна нулю, если она не тре-

буется ( s0  s1  s2  s3  0 ). Если сообщение m было дополнено, то хэш- значение рассчитывается следующим образом: h0  IV for i  0,..., N 1 hi1  compresshi ,mi , s,l i  N return h Функция хэширования Keccak. Keccak (читается как "кечак") представляет собой функцию хеширования переменной разрядности. Авторами функции является большая группа разработчиков во главе с Джоном Даеменом, который является со- автором ныне действующего стандарта шифрования данных AES. Размер вырабаты- ваемого функцией хэш-значения может быть равен 224, 256, 384 или 512 бит. При этом используется одно и тоже число раундов – 24. Согласно проведенным исследо- ваниям на этапе отбора, данная функция хэширования является достаточно быст- рой (12,5 циклов на байт на системах с CPU Intel Core 2) и эффективно реализуется без больших затрат ресурсов, что позволяет использовать ее без особых проблем в различных по своим параметрам системах. Аппаратная реализация Keccak оказа- лась наиболее быстрой из всех представленных на конкурс работ [4]. Функция Keccak построена по новому криптографическому принципу, кото- рый получил название "губка". и состоит из двух этапов: Первый этап – «впитывание», заключается в том, что исходное сообщение проходит через многораундовую перестановку f. Второй этап – «выжимание», заключается в выработке хэш-значения. Конструкция губки имеет внутреннее состояние с данными фиксированного размера b (бит). Фиксированное состояние делится на 2 части: b=r+с, где r – раз- мер битовой скорости, а с – размер мощности. В начале работы функции хэшируемое сообщение N разбивается на блоки кратные размеру r. В фазе «впитывания» задается исходное состояние из нулевого вектора размером до 1600 бит. Затем блок N1 складывается по модулю 2 с фраг-

223 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

ментом исходного состояния r, вторая часть состояния c остается незатронутой. Полученный результат после сложения проходит через функцию f(), данный алго- ритм проделывается для остальных блоков Ni. Keccak реализован в виде трехмерного массива 5х5 (рис. 2), где одномерная часть содержит: содержит строку “row” из 5 битов констант y и z координат, стол- бец “column” из 5 битов констант x и z координат, а также полосу “lane” для хра- нения слова w, x и y координат. Двумерная часть содержит следующие элементы: лист “sheet” из 5w битов с постоянной координатой x, плоскость “plane” из 5w би- тов с постоянной координатой y и часть “slice” набор из 25 битов с постоянной координатой z. Рассмотрим подробнее функцию f(). Функция f() состоит из следующих 5 операций: тета-функция (Theta-Function), чи-функция (Chi-Function), пи-функция (Pi-Function), ро-функция (Rho-Function) и йота-функция (Iota-Function). Функция хэширования Grostl. Функция хэширования Grostl способна возвра- щать хэш-значение произвольной длины от 1 до 64 байт, то есть от 8 до 512 бит, при этом само хэш-значение должно быть кратно байту. Вариант функции, возвращаю- щий n бит принято называть Grostl-n. Функция работает следующим образом. Ис- ходное сообщение М дополняется и разбивается на блоки m1 ... mt по l бит каждый. Дальше эти блоки последовательно обрабатываются. Начальное l-битное значение h0 приравнивается к значению вектора инициализации IV, после чего все блоки обрабатываются следующим образом:

hi  f(hi-1, mi ) для всех i=1, ..., t Заметим, что функция f преобразует два входных сообщения по l бит каждое в одно выходное значение длиной l бит. Первый вход называется связующим вхо- дом, второе сообщение является обрабатываемым сообщением М. Для варианта функции Grostl, возвращающей 256-битовое хэш-значение, параметр l равен 512, для больших длин хэш-значений, параметр l равен 1024. После того, как будет обработан последний блок сообщения М, выходное хэш-значение вычисляется как

H(M) ht . В общем виде схему выработки хэш-начения с помощью функции Grostl можно представить так, как это сделано на рис. 6.

m m m1 m2 3 t

f f f f Ω iv ... H(m) l l n Рис. 6. Общий фид преобразования с помощью функции Grostl

Сжимающая функция базируется на двух l-битовых перестановках Р и Q. В общем виде преобразование можно описать с помощью следующей формулы f h,m  P(). h  m  Q m  h Схематично данное преобразование представлено на рис. 7. Выходное преобразование  можно описать с помощью формулы:

h  truncn  P x  x,

224

Раздел IV. Методы и средства криптографии и стеганографии

где truncn х – операция, которая отбрасывает все, кроме последних n битов сооб- щения x. Схематично преобразование  можно представить в виде рис. 8.

hi-1 mi

P Q

hi Рис. 7. Сжимающее преобразование

x P

Рис. 8. Заключительная операция сжатия

Функция хэшированя JH. Автором функции хэширования JH является Хонгджун Ву (Hongjun Wu) из Института исследований в области телекоммуника- ций, Сингапур. Алгоритм построен по схеме Меркля-Дамгарда. Сообщение, для которого необходимо выработать хэш-функцию разбивается на блоки по 512 бит. Получаемое на выходе хэш-значение может иметь размер 224, 256, 384 и 512 бит. При этом в функции хэширования JH используется один и тот же алгоритм сжатия, формирующий после обработки последнего блока сооб- щения 1024-битное значение. Данное 1024-битное значение в последствии усека- ется до требуемого размера хэш-значения. На вход функции сжатия поступают 512-битные блоки сообщения, а также 1024-битное выходное значение функции сжатия после обработки предыдущего блока Hi-1. Для обработки первого блока вместо Hi-1 используется значение вектора инициализации IV. Функция сжатия выполняет следующие действия. Обрабатывае- мый блок сообщения Mi складывается по модулю два с левой 512-битной половиной значения Hi-1. Результат предыдущей операции обрабатывается функцией преобра- зования Е. Сообщение Mi складывается по модулю два с правой половиной 1024- битного выходного значения функции E. В результате получается значение Hi. Выходное 1024-битное значение функции Е представляется в виде восьми- мерного массива, каждое измерение которого содержит 2 слова по 4 бита. В осно- ве Е функции лежит блочный шифр, который представляет собой SPN-сеть (сеть на основе подстановок и перестановок) и состоит из 35 раундов. В каждом раунде используются: замена с помощью двух S-блоков S0 или S1; линейное преобразо-

225 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

вание, поочередно обрабатывающее по два слова состояния с помощью операций XOR над определенными битами входных слов; перестановка слов состояния по определенному закону. Резултаты анализа функций хэширования. В соответствии с документацией по конкурсу SHA-3 все пять финалистов подвергались тщательному анализу с раз- личных точек зрения. Основные результаты анализа приведены в таблицах 2 - 3 [5]. Таблица 2 Лучшие известные атаки по поиску коллизий для финалистов конкурса SHA-3 Алгоритм Тип атаки Цель Число Процент раундов взлома, % BLAKE Semi-free-start Сжимающая 4/14 29 near collision функция Grostl Semi-free-start Сжимающая 6/10 60 near collision функция JH Near collision Функция 26/42 62 хэширования Keccac Semi-free-start Сжимающая 5/24 21 near collision функция Skein Collision Функция 32/72 44 хэширования Таблица 3 Лучшие известные атаки с использованием дифференциальных свойств для финалистов конкурса SHA-3 Алгоритм Цель Число Процент раундов взлома, % BLAKE Блочный шифр 7/14 50 Grostl Перестановка 9/10 90 JH Сжимающая функция 42/42 100 Keccac Перестановка 14/24 58 Skein Сжимающая функция 37/72 52

БИБЛИОГРАФИЧЕСКИЙ СПИСОК 1. Xiaoyun Wang, Hongbo Yu., Yiqun Lisa Yin, Efficient Collision Search Attacks on SHA-0 [Электронный ресурс]. – http://citeseerx.ist.psu.edu, свободный. 2. XiaoyunWang, Hongbo Yu., How to BreakMD5 and Other Hash Functions [Электронный ресурс]. – http://citeseerx.ist.psu.edu, свободный. 3. XiaoyunWang, Yiqun Lisa Yin, Hongbo Yu., Finding Collisions in the Full SHA-1 [Электронный ресурс]. – http://people.csail.mit.edu/yiqun/pub.htm, свободный. 4. Guido Bertoni, Joan Daemen, Michaël Peeters, Gilles Van Assche. The Keccak reference, Version 3.0, January 14, 2011. – С. 1-69. 5. Shu-jen Chang, Ray Perlner, William E. Burr et all Third-Round Report of the SHA-3 Crypto- graphic Hash Algorithm Competition [Электронный ресурс]. – http://nvlpubs.nist.gov/ nistpubs/ir/2012/NIST.IR.7896.pdf, свободный. Статью рекомендовал к опубликованию д.т.н., профессор Я.Е. Ромм. Бабенко Людмила Климентьевна – Федеральное государственное автономное образова- тельное учреждение высшего профессионального образования «Южный федеральный уни- верситет»; e-mail: [email protected]; 347928, г. Таганрог, ул. Чехова, 2, корпус "И"; тел.: 88634312018; кафедра безопасности информационных технологий; профессор.

226

Раздел IV. Методы и средства криптографии и стеганографии

Ищукова Евгения Александровна – e-mail: [email protected]; тел.: 88634371905; кафедра безопасности информационных технологий; доцент. Babenko Lyudmila Klimentevna – Federal State-Owned Autonomy Educational Establishment of Higher Vocational Education “Southern Federal University”; e-mail: [email protected]; Block “I”, 2, Chehov street, Taganrog, 347928, Russia; phone: +78634312018; the department of security of information technologies; professor. Ischukova Evgeniya Aleksandrovna – e-mail: [email protected]; phone: +78634371905; the department of security of information technologies; associate professor.

227 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Раздел V. Прикладные вопросы информационной безопасности

УДК 631.8

И.А. Калмыков, О.И. Дагаева, Д.О. Науменко, О.В. Вельц СИСТЕМНЫЙ ПОДХОД К ПРИМЕНЕНИЮ ПСЕВДОСЛУЧАЙНЫХ ФУНКЦИЙ В СИСТЕМАХ ЗАЩИТЫ ИНФОРМАЦИИ

Рассмотрены протоколы, используемые в системах электронных платежей (СЭП), в которых применение разработанной псевдослучайной функции (ПСФ) повышенной эф- фективности обеспечивает требуемый уровень защиты информации при меньшей длине ключа. Данная разработанная псевдослучайная функция, за счет уменьшения количества умножений и сокращения размерности обрабатываемых аргументов, позволяет снизить требования к объему памяти, используемой для вычисления ее значений. Дальнейшее повы- шение эффективности разработанной ПСФ возможно за счет применение системного подхода к расширению числа протоколов, в которых возможно применять эту функцию. Целью исследований является сокращение объема памяти, которое занимает про- граммное обеспечение, необходимое для эффективной работы носителя электронных де- нежных средств (смарт-карты) за счет системного подхода к увеличению числа протоко- лов, реализованных с помощью разработанной псевдослучайной функции. Это позволит увеличить объем свободной памяти носителя, в которой будет храниться электронная наличность. Системы электронных платежей; криптографические протоколы защиты данных; псевдослучайная функция; протокол доказательства с нулевым разглашением.

I.A. Kalmykov, O.I. Dagayeva, D.O. Naumenko, O.V. Velts A SYSTEM APPROACH TO USAGE OF PSEUDORANDOM FUNCTION IN THE DATA PROTECTION SYSTEMS

The paper deals with the protocols used in electronic payment systems (EPS), in which the use of the developed pseudo-random function (PRF) increased efficiency provides the required level of security with a smaller key length. This developed pseudo-random function, by reducing the number of multiplications and dimensionality reduction process arguments to reduce the memory requirements used to calculate its value. Improving the effectiveness of the developed PRF is possible due to the use of a systematic approach to expanding the number of protocols in which it is possible to use this feature. The aim of this research is reducing of the volume occupied by the software which is needed for the effective operation of the e-money carrier (smart card) by system approach to increase the number of protocols implemented by the developed pseudorandom function. This will increase the amount of free memory medium in which to store electronic cash. Electronic payment systems; cryptographic protocols data protection; pseudorandom function; the zero-knowledge proof protocol. Лавинообразный рост числа пользователей сети Интернет стал одной из главных предпосылок создания и бурного развития электронного бизнеса. Элек- тронный бизнес характеризуется высокой динамикой изменения среды, в которой осуществляется экономическая деятельность. При этом его организация и ведение

228

Раздел V. Прикладные вопросы информационной безопасности

в электронной форме ставят ряд специфических проблем, связанных с корректным функционированием и обеспечением его безопасности. Существенное увеличение числа участников экономической деятельности и перенесение ее части в информа- ционное пространство приводит к тому, что вопросы безопасности организации бизнеса приобретают весьма актуальное содержание. Особенно высокие требова- ния предъявляются к организации системам электронных платежей (СЭП). Основ- ным требованием к системам, обеспечивающим электронные платежи по сделкам, является надежность и безопасность их использования [1]. Анализ отечественного рынка платежных систем, который еще находится на этапе своего развития, показывает, что в нем реально работают несколько различ- ных решений, начиная от традиционных платежных карт и заканчивая – электрон- ной наличностью. При этом последние становятся универсальным платежным средством, благодаря низкой стоимости выполнения транзакций, простотой дели- мости и объединяемости, более высокой степени защищенности от хищения, под- делки, изменения номинала. Очевидно, что одним из основных свойств любой системы безналичных рас- четов является обеспечение безопасности всех ее компонентов на всех этапах функционирования этой системы. При этом покупатель, использующий электрон- ную наличность, продавец, эмитент и эквайер должны быть уверены в защите сво- их вложений. К сожалению, всестороннее развитие Интернета и мобильной связи, как показал анализ, не позволяют в полной мере обеспечить требуемый уровень защиты данных. Поэтому разработка протоколов, обладающих высокой степенью защиты данных от несанкционированного доступа (НСД), является актуальной задачей. Проведенный анализ работ [1–3] позволил выделить ряд протоколов, реали- зация которых позволит обеспечить эффективную работу автономной системы электронных платежей. В работе [4] показано, что вопросы защиты электронной наличности, используемой современными СЭП, возлагается на протоколы крипто- графической защиты. При этом для организации эффективного функционирования таких систем применяются различные криптографические алгоритмы. Очевидно, что такой подход способствует увеличению размеров программного обеспечения, применяемом на электронном носителе наличности «электронном кошельке». Это приводит к значительному уменьшению свободного объема памяти, которое мо- жет использовать пользователь для хранения электронных денег. Разрешить сложившуюся ситуацию, когда, с одной стороны, в работе СЭП используются несколько криптографических протоколов для обеспечения высоко- го уровня защиты информации, а, с другой стороны, возрастают требования к сво- бодному объему энергонезависимой памяти смарт-карты, которая используется в качестве хранилища электронных средств платежа, возможно лишь на основе сис- темного подхода. Известно, что системный анализ (СА) - наиболее конструктивное направле- ние, используемое для практических приложений теории систем к задачам управ- ления, обработки информации. Конструктивность системного анализа связана с тем, что он предлагает методику проведения работ, позволяющую не упустить из рассмотрения существенные факторы, определяющие построение эффективных систем управления в конкретных условиях. При этом современный системный анализ представляет собой совокупность методов и средств, позволяющих иссле- довать свойства, структуру и функции объектов, явлений или процессов в целом, представив их в качестве систем со всеми сложными межэлементными взаимосвя- зями, взаимовлиянием элементов на систему и на окружающую среду, а также влиянием самой системы на ее структурные элементы [5].

229 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Применяя методы системного анализа, было проведено исследование основных ви- дов протоколов, которые используются в современных СЭП, работающих с электронны- ми деньгами. На основе полученных результатов был сделан вывод, суть которого состо- ит в следующем. Для обеспечения эффективной работы носителя электронных де- нежных средств (смарт-карты) необходимо использовать в различных протоколах одну псевдослучайную функцию. В настоящее время псевдослучайны функции стали неотъемлемым элемен- том практически любой системы обработки и передачи информации, независимо от ее сложности и назначения. Как правило, для их реализации используются про- граммные и программно-аппаратные средства генерации. Основными сферами применения ПСФ являются системы космической связи и навигации, помехо- устойчивое кодирование техническое диагностирование компонентов компьютер- ных систем, защита информации [6–8]. Во всех вышеперечисленных случаях ПСФ используются либо непосредствен- но, либо на их основе строятся алгоритмы хеширования информации. Но при этом каждая из областей применения ПСФ предъявляет к псевдослучайным функциям свои требования. Так при реализации процедур кодировании и защиты информации качество операций генерации псевдослучайных функций и хеширования определя- ется в первую очередь эффективностью ПСФ. Таким образом, именно от свойств псевдослучайных функций, особенно в тех случаях, когда необходимо обеспечить устойчивую работу системы при наличии случайных и умышленных деструктивных воздействий, будет в значительной степени зависит эффективность работы СЭП. Поэтому задача разработки высокоэффективных ПСФ является актуальной. На основе системного подхода при проведении исследований основных алго- ритмов формирования ПСФ была разработана псевдослучайная функция, удовле- творяющая отмеченным выше требованиям. Как показано в работе [9] была разра- ботана ПСФ, принимающая на входную последовательность и ключ (x1 ,...,xn )

(g,s1 ,...,sn ) , обеспечивает выполнение равенства   1 n  ()sxii i1 F(( s11 ,..., snn ),( g , x ,..., x ))  g , (1) где g – первообразный элемент мультипликативной группы. Представленные в работе [9] теоремы, позволили показать, что для области определения размером m значение . Вследствие этого при вычисле- 2 n  m log 2 l нии данной функции требуется в раз меньше умножений. При этом при log 2 l сравнении с псевдослучайной функцией Наора-Рейнголда разработанная ПСФ использует меньший объем памяти для вычисления конечного за счет уменьшения в раз размера ключа. Но при этом, стойкость данной ПСФ основывается на доказательстве о сложности решения -DDH проблемы. Вопросы применения разработанной псевдослучайной функции в протоколах определения двойной оплаты и протоколе снятия со счета подробно рассмотрены в работе [10]. Однако наряду с данными протоколами для эффективной работы сис- темы электронных платежей используются и другие. Особое внимание хотелось бы обратить на протокол «выплаты одной монеты». Для организации протокола выплаты электронной наличности пользователь имеет два ключа – открытый Котк и секретный Ксекр. Открытый ключ применяется банком при выдаче электронного кошелька своему абоненту-покупателю. Секрет- ный ключ покупателя Ксекр участвует в процессе выплаты электронных денег.

230

Раздел V. Прикладные вопросы информационной безопасности

Но при этом Ксекр должен быть в таком виде, чтобы продавец не смог его вычисли- тель самостоятельно. В данной системе электронных платежей покупатель, будучи легальным пользователем системы, вычисляет свой открытый ключ согласно Ксекp , (2) Kотк  g modq где q – порядок мультипликативной группы с порождающим элементом g. Для осуществления процедуры выплаты у покупателя должен быть в наличии электронный кошелек W, который содержит секретный ключ владельца Ксекр, па- раметр S для генерации номера электронной купюры, параметр Т для проведения протокола «двойной выплаты»,  (С) – подпись банка на вручение С, которое КБС использовал покупатель при получении кошелька в банке, J – показатель счетчика электронных монет W  (K ,S,T, (С), J). (3) секр КБС Для осуществления покупки владелец электронного кошелька обращается к продавцу. При этом он должен доказать последнему следующие моменты: в кошельке W есть подпись банка на вручение С, т.е.  (С)  (К , S,T); (4) КБС КБС секр

покупатель правильно сгенерировал SJ номер J-ой электронной купюры, т.е. 1 SJ 1 S J  g ; (5) покупатель правильно сгенерировал число ТJ , которое используется в урав- нении двойной выплаты электронной купюры, т.е. 1 Т J 1 Т J  Котк g . (6) Рассмотрим более подробно каждый этап протокола «выплаты одной моне- ты». На первом этапе, для того чтобы доказать продавцу, что в электронном ко- шельке присутствует подпись банка, выдавшего электронные купюры, покупатель вычисляет вручение 1  m   (К S T )    i i i  С  (g j 1  )modq , (7)

где Ki , Si и Ti – i-й блок, полученный при разбиении чисел секретного ключа Ксекр, параметров S и Т на m частей; q – порядок мультипликативной группы с порож- дающим элементом g. Затем, используя свой секретный ключ, покупатель закрывает данные Е (С, (С)) и пересылает зашифрованный текст продавцу. Продавец, зная Ксекр КБС открытый ключ покупателя, расшифровывает данное сообщение D (С, (С)) Котк КБС и получает в открытом виде вручение С и подпись банка на это вручение . После этого продавец обращается в банк и, получив его открытый ключ, расшифровывает его подпись. Результатом данной процедуры является вручение С, которое представил покупатель в банк для получения кошелька. Продавец срав- нивает эти значения. При совпадении этих значений продавец убеждается, что у покупателя есть электронный кошелек. На втором этапе выполнения протокола «выплаты одной монеты» продавец должен убедиться, что покупатель правильно сгенерировал SJ номер J-й электрон- ной купюры и число ТJ, которое используется в уравнении двойной выплаты электронной купюры.

231 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

При использовании разработанной псевдослучайной функции повышенной эффективности процедура генерации SJ номера J-ой электронной купюры имеет вид  1 i Si J j 1 S J  g , (8)

где Si и Ji – i-й блок, полученный при разбиении параметров S и J на m частей. При этом генерация числа ТJ , которое используется в уравнении двойной выплаты электронной купюры, определяется  1 i Тi J j 1 Т J  Котк g , (9)

где Ti и Ji – i-й блок, полученный при разбиении параметров T и J на m частей Для удобства введем обозначения m m 1 ; 1 . аs   modq аT   modq i1 Si  J i 1 i1 Ti  J i 1 Продавец пересылает покупателю случайное число, которое . r Z q После этого покупатель вычисляет ответы на вопрос r, заданный продавцом * , (10) as  (as  r)modq * . (11) aT  (aT  r)modq Полученные значения покупатель использует для вычисления затемненных образов серийного номера купюры и параметра для уравнения двойной выплаты * * aS , (12) SJ  g modq * * aT . (13) TJ  g modq После этого покупатель определяет произведение истинных и затемненных образов

aS aT aS aT mod (q) SJTJ modq  g Котк g modq  Котк g modq , (14) * * * * * * aS aT aS aT mod (q) SJTJ  g Котк g modq  Котк g modq. (15) Полученные результаты с помощью выражений (14) и (15) в зашифрованном виде Е (S T , S *T * ) пересылаются продавцу. Ксекр J J J J

После этого продавец, используя открытый ключ покупателя Котк, расшифро- вывает его подпись D (S T , S *T * ) . Затем продавец вычисляет отношение Котк J J J J

aS aT mod (q) S T К g a a  a* a* mod (q) J J отк  S T   S T  2r . (16) А   * *  g modq  g modq * * aS aT mod (q) S JTJ Котк g Если вычисленное значение, согласно равенства (16), соответствует А  g r 2 modq , (17)

то это свидетельствует о том, что представленные электронной SJ номер J-й элек- тронной купюры и соответствующей ему параметр ТJ , который используется в уравнении двойной выплаты, сгенерированы правильно. Обобщая полученные результаты, можно отметить, что благодаря использо- ванию методов системного анализа был разработан протокол «выплаты одной мо- неты», который применяет предлагаемую ПСФ. Выводы. На основе системного подхода осуществлено расширение области применения разработанной псевдослучайной функции повышенной эффективно- сти в системах электронных платежей. В работе показана возможность использо- вания ПСФ в новом протоколе «выплаты одной монеты» автономной системы

232

Раздел V. Прикладные вопросы информационной безопасности

электронных денег. Следует отметить, что данная функция может быть использо- вана при работе с протоколом выплаты электронных монет, не позволяя злоумыш- леннику повторно использовать одни и те же электронные монеты, а также в про- токоле доказательства с нулевым разглашением. Благодаря своим свойствам, раз- работанная ПСФ характеризуется высокой криптографической стойкостью. Таким образом, за счет многократного использования одной и той же математической ПСФ, освобождается объем памяти необходимый для хранения электронных де- нежных средств.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК 1. Пярин В.А., Кузьмин А.С., Смирнов С.М. Безопасность электронного бизнеса. – М.: Ге- лиоас АРВ, 2009. – 432 с. 2. Панасенко С.В. Алгоритмы шифрования. – М.- БХВ-Петербург, 2009. – 576 с. 3. Девятов В.А. Электронные деньги и платежные системы. Краткий справочник. – М.: АСТ-Пресс. – 2008. – 319 с. 4. Калмыков И.А., Дагаева О.И. Разработка псевдослучайной функции повышенной эф- фективности // Известия ЮФУ. Технические науки. – 2011. – № 12 (125). – С. 160-169. 5. Емарлукова Я.В., Калмыков И.А., Яковлева Е.М. Системное проектирование отказо- устойчивых устройств цифровой обработки сигналов // Современные наукоемкие тех- нологии. − 2011. – № 3. − С. 32-35. 6. Пашинцев В.П., Чипига А.Ф., Галкина В.А., Смирнов А.А. Решение проблемы обеспече- ния энергетической скрытности в системах спутниковой связи при близком размещении приемника радиоперехвата // Наукоемкие технологии. – 2012. – Т. 13, № 7. – С. 30-34. 7. Катков К.А. Адаптивный алгоритм определения вектора пространственно-временных координат // Известия ОрелГТУ. Информационные системы и технологии. – 2011. – № 1 (63) – С. 5-14 8. Чипига А.Ф. Обоснование возможности сохранения конфиденциальности данных в симметричных криптосистемах в случае компрометации ключа шифрования // Известия ЮФУ. Технические науки. – 2010. – № 11 (112). – С. 124-129. 9. Калмыков И.А., Дагаева О.И. Новые технологии защиты данных в электронных коммер- ческих системах на основе использования псевдослучайной функции // Известия ЮФУ. Технические науки. – 2012. – № 12 (137). – С. 218-224. Статью рекомендовал к опубликованию д.т.н., профессор О.Б. Макаревич. Калмыков Игорь Анатольевич – Институт информационных технологий и телекоммуникаций Северо-Кавказского федерального университета, г. Ставрополь; e-mail: [email protected]; 355040 г. Ставрополь, ул. Шпаковская, 92, кор. 1, кв. 28; тел.: 88652731380, 89034163533; кафед- ра информационной безопасности автоматизированных систем; д.т.н.; профессор. Дагаева Ольга Игоревна – e-mail: [email protected]; 355040 г. Ставрополь, пр. Кулакова, 33, кв. 56; тел.: 88652956546; кафедра информационной безопасности автоматизированных систем; аспирантка. Науменко Даниил Олегович – e-mail: [email protected]; 355040, г. Ставрополь, ул. Се- машко, 8, кв. 23; тел.: 89197362888; кафедра информационной безопасности автоматизиро- ванных систем; аспирант. Вельц Оксана Владимировна – e-mail: [email protected]; 355013, г. Ставрополь, ул. Чехова, 33, кв. 66; тел.: 88652944241; кафедра информатики; старший преподаватель. Kalmykov Igor Anatolyevich – Institute of Information Technologies and Telecommunications, North-Caucasus Federal University, Stavropol; e-mail: [email protected]; 92, Shpakovskaya street, k. 1, fl. 28, Stavropol, 355000, Russia; phones: +78652731380, +79034163533; the department of information security of automated systems; dr. of eng. sc.; professor. Dagayeva Olga Igorevna – e-mail: [email protected]; 33, pr. Kulakova, fl. 56, Stavropol, 355000, Russia; phone: +79197389273; the department of information security of automated systems; postgraduate student.

233 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Naumenko Daniil Olegovich – e-mail: [email protected]; 8, Semashko street, fl. 23, Stavropol, 355000, Russia; phone: +79197362888; the department of information security of automated systems; postgraduate student. Velts Oksana Vladimirovna – e-mail: [email protected]; 33, Chehova street, fl. 66, Stavropol, 355000, Russia; phone: +78652944241; the department of information science; senior lecturer.

УДК 631.8

И.А. Калмыков, А.Б. Саркисов, А.В. Макарова ТЕХНОЛОГИЯ ЦИФРОВОЙ ОБРАБОТКИ СИГНАЛОВ С ИСПОЛЬЗОВАНИЕМ МОДУЛЯРНОГО ПОЛИНОМИАЛЬНОГО КОДА

Целью исследований является разработка новой технологии цифровой обработки сигналов (ЦОС), применение которой позволяет, за счет использования целочисленной не- позиционной математической модели ЦОС, обеспечить высокоскоростную обработку сигналов в условиях воздействия помех и отказа оборудования. Возрастание требований к временным характеристикам современных систем ЦОС привело к созданию вычислитель- ных устройств (ВУ), использующих параллельные вычисления. Однако при этом возникает следующая проблема: с одной стороны, постоянный рост требований к скоростным ха- рактеристикам ВУ приводит к необходимости организации параллельных вычислений, а с другой стороны, при этом увеличивается частота возникновения отказов и возрастает время простоя, вызванное трудностью отыскания неисправности. Для решения данной проблемы в работе предлагается использовать математиче- скую модель ЦОС, использующую модулярный полиномиальный код (МПК), который за счет распараллеливания на уровне операций и обработки малоразрядных данных позволяет не только увеличить скорость вычислений, но и обеспечивает получение корректного ре- зультата в условиях воздействия помех при передаче и отказа оборудования. Цифровая обработка сигналов; ортогональные преобразования сигналов в кольце поли- номов; модулярный полиномиальный код; коррекция ошибки; позиционные характеристики.

I.A. Kalmykov, A.B. Sarkisov, A.V. Makarova TECHNOLOGY OF THE DIGITAL PROCESSING SIGNAL WITH USE MODULAR POLYNOMIAL CODE

The aim of research is а development to new technology of the digital processing signal (COS), which using allows, through the use of integer no positional mathematical model COS, provide speedi- est processing a signal in condition of the influence of the hindrances and refusal of the equipment. Increasing of requirements to the temporal characteristics of modern systems of COS led to the creation of computing devices (VU), using parallel computing. However, this raises the following problem: on the one hand, steady growth of requirements for high-speed characteristics of VU leads to the necessity of organization of parallel computations and on the other hand, this increases the frequency of occur- rence of failures and increases downtime caused by the difficulty of finding fault. To solve this problem it is suggested to use a mathematical model of а COS that uses modular polynomial code (MPC), which is due to parallelization at the level of operations and processing of small category data allows not only to increase speed of calculations, and ensures obtaining the correct result in the conditions of influence of interference during transmission and equipment failure. Digital signal processing; the orthogonal transformation of signals in the ring of polynomi- als; modular polynomial code; correction of errors; positive institutional characteristics. Введение. На современном этапе развития цивилизации информация играет ключевую роль в функционировании общественных и государственных институ- тов. Информационная среда, являясь системообразующим фактором жизни обще- ства, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности государства.

234

Раздел V. Прикладные вопросы информационной безопасности

Широкое внедрение современных информационных технологий во все области хозяйственной и духовной жизни приводит к возрастанию значения защиты информа- ционных ресурсов, которые являются объектом сбора, обработки передачи и хране- ния. Особо наглядно это проявляется в системах передачи и обработки сигналов. Современный этап применения вычислительных устройств в этих системах показал, что использование методов ЦОС позволяет относительно легко обеспе- чить высокую помехоустойчивость систем обработки данных, необходимую точ- ность и разрешающую способность, простое сопряжение подсистем обработки, стабильность параметров тракта обработки информации и ряд других преиму- ществ [1-5]. При этом задачи цифровой обработки сигналов требуют выполнение в реальном масштабе времени больших объемов вычислений над большими масси- вами данных. Добиться качественных изменений в возможностях современных систем передачи и обработки данных можно за счет применения новой математи- ческой модели реализации ортогональных преобразований сигналов в алгебраиче- ских модульных системах. При этом такая технология ЦОС должна не только по- высить скорость и точность обработки сигналов, но и обеспечить отказоустойчи- вость вычислительного устройства цифровой обработки сигналов. Постановка задачи исследования. Важность задач ЦОС делает целесооб- разной разработку специализированных устройств для их решения. При этом эф- фективность работы системы цифровой обработки сигналов во многом определя- ется математической моделью ЦОС. В настоящее время все технические реализации ВУ ЦОС используют не- сколько математических моделей, которые можно разделить на следующие груп- пы. Основу первой составляют математические модели, базирующиеся на реали- зации ортогональных преобразований сигналов над полем комплексных чисел, в частности дискретном преобразовании Фурье (ДПФ) и его быстрых алгоритмов. Так в системах широкополосного беспроводного доступа (ШБД) для борьбы с по- мехами при многолучевом приеме применяется технология ортогонального час- тотного мультиплексирования OFDM. Технически метод OFDM реализуется пу- тем выполнения обратного дискретного преобразования Фурье (Fast Fourier Transform, FFT) в модуляторе передатчика и прямого дискретного преобразования Фурье – в демодуляторе приемника приемопередающего устройства [1–3]. Однако реализация быстрого преобразования Фурье характеризуется наличи- ем двух вычислительных трактов и предопределяет значительные погрешности при вычислении значений спектральных коэффициентов в поле комплексных чи- сел, обусловленных тем, что поворачивающие коэффициенты представляют собой иррациональные числа. Во вторую группу входят математические модели ЦОС, обладающие свойст- вом конечного кольца и поля. Если значение входного сигнала x( nT ) рассматри- вать как подмножество других алгебраических систем, обладающих структурой кольца или конечного поля Галуа, то реализацию ортогональных преобразований сигналов можно свести к теоретико-числовым преобразованиям (ТЧП), опреде- ляемым в пространстве кольца вычетов целых чисел по модулю М. Однако основ- ным недостатком ТЧП является жесткая связь между точностью вычислений, раз- мерностью входного вектора x(nT) и значением модуля М. Даже небольшой дина- мический диапазон входных сигналов требует больших значений модуля М, а зна- чит арифметическое устройство, реализующее ортогональные преобразования сигналов, должно иметь большую разрядную сетку. В подавляющем большинстве приложений задача цифровой обработки сиг- налов сводится к нахождению значений ортогонального преобразования конечной реализации сигнала для большого числа точек, что предопределяет повышенные

235 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

требования к разрядности вычислительного устройства. Решить данную проблему можно за счет перехода от одномерных вычислений к многомерным. В основу данного преобразования положена китайская теорема об остатках (КТО) [6–10]. Для эффективной реализации ортогональных преобразований высокой точ- ности необходимо доказать возможность реализации ДПФ в кольце полиномов. Пусть имеем кольцо полиномов P(z), с коэффициентами в виде элементов поля GF(p), определяющего точность вычисления ортогональных преобразований сиг- налов. Положим, что кольцо разлагается в сумму

P() z P12 () z  P ()... z   Pn () z , (1)

где Pl(z) – локальное кольцо полиномов, образованное неприводимым полиномом pl(z) над полем GF(p); l=1, …, n. Тогда в данной системе существует ортогональное преобразование, пред- ставляющее собой обобщенное ДПФ, если выполняются условия:

1. i ()z – первообразный элемент порядка d для локального кольца Pl(z), где l=1, …,m. 2. d имеет мультипликативный обратный элемент d*. Ортогональное преобразование является обобщенным ДПФ для кольца выче- тов P(z) если существуют преобразования над конечным кольцом Pl(z) d 1 k n kn Xl()()() z  x l z l z , (2) n0 k n kn где  Xl( z ), x l ( z ), l ( z ) P l ( z ) , l=1,2,…,m; k=0,1,…d-1.

Полученная циклическая группа имеет порядок d. Поэтому ДПФ над Pl(z) можно обобщить над кольцом P(z), если конечное кольцо Pl(z) содержит корень d- ой степени из единицы и d имеет мультипликативный обратный элемент d*, такой что справедливо d  d  p  1. (3) Представленная математическая модель цифровой обработки сигналов ис- пользует модулярный полиномиальный код. При этом вычисления организуются параллельно, помодульно и независимо друг от друга, т.е. для суммы, разности и произведения двух полиномов Az()и Bz(), имеющих соответственно модуляр-

ные коды 12(z ),  ( z ),..., n ( z ) и 12(z ),  ( z ),..., n ( z ) справедливы соотно- шения при i=1,…,n [6–8]:  A()()()() z B z ii z  z , (4) p()() z pi z где  – операции сложения, вычитания и умножения в поле Галуа. Тогда ортогональное преобразование сигнала и ему обратное определяются dd11 jl jl , (5)  X1( l ), ..., Xn ( l )   x 1 ( j ) 1 ,..., x n ( j ) n jj00  dd11 **jl jl . (6) x1( j ), ..., xn ( j )   d X 1 ( l ) 1 ,..., d X n ( l ) n ll00  При этом справедливо x( j ) x ( j )mod p ( z );jl jl mod p ( z ); i i i i (7) Xii( l ) X ( l )mod p ( z ).

236

Раздел V. Прикладные вопросы информационной безопасности

Приравнивая соответствующие координаты, получаем n пар прямого преоб- разования d 1  jl  X1( l )  x 1 ( j ) 1 mod p 1 ( z );  j0  (8)   d 1  jl Xn( l )  x n ( j ) n mod p n ( z ),  j0 и n пар обратного преобразования d 1  *  jl  x1( j ) d X 1 ( l ) 1 mod p 1 ( z ); l0   (9)  d 1  *  jl xn( j ) d X n ( l ) n mod p n ( z ).  l0 Применение выражений (8) и (9) позволяет свести вычисление ортогональных преобразований сигналов в поле Галуа над кольцом Р(z) к n независимым вычислени- ям, проводимым по модулям pi(z) кода МПК. Повысить скорость обработки сигналов можно за счет перехода к быстрым алгоритмам, которые используют матрицы мень- шей размерности. Так для полинома третьей степени p(z) = z3 +z+1 (deg p(z) = 3) су- ществует 7-точечное ортогональное преобразование. В этом случае используется мат- рица поворачивающих коэффициентов размером 7 7 . Применение быстрого алго- ритма ортогонального преобразования по модулю p(z), позволяет осуществить эту процедуру на основе использования 3 матриц размером 22 . При этом применение модулярного полиномиального кода позволяет не только повысить скорость обработки данных, но и обеспечить восстановить иска- женные результаты, которые возникают из-за отказов вычислительного устройства ЦОС [8, 10]. Если на диапазон возможного изменения кодируемого множества полиномов наложить ограничения, то есть выбрать k из n оснований МПК ( k  n), то это по- зволит осуществить разбиение полного диапазона P(z) расширенного поля Галуа GF() p на два непересекающихся подмножества. Первое подмножество называ- ется рабочим диапазоном k Pраб()() z  p i z , (10) i1 Второе подмножество GF() p , определяемое произведением r n k кон- трольных модулей kr . (11) Pконт()() z  p i z ik1 Многочлен Az() с коэффициентами из поля GF() p будет считаться разре-

шенным, в том и только том случае, если degA ( z ) deg Pраб ( z ) . В противном случае Az(), представленный к МПК, считается ошибочным. Отсутствие взаимосвязи между вычислительными трактами процессоров МПК не позволяет ошибкам перемещаться по другим основаниям. При этом изме- нение кратности ошибки не приводит к размножению ошибки как между разряда- ми внутри основания, так и от одного основания к другому.

237 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

В работе [10] проведены исследования корректирующих способностей моду- лярных полиномиальных кодов. Как показали исследования, для исправления од- нократной ошибки необходимо в состав упорядоченного МПК, для которого спра-

ведливо degp12 ( z ) deg p ( z ) deg pk ( z ) , ввести два контрольных оснований pk+1(z) и pk+2(z), удовлетворяющих условию

degpk1 ( z ) deg p k ( z )  deg p k  1 ( z )  deg p k  2 ( z ) , (12)

Пусть ошибка произошла по модулю pi(z). В этом случае ошибка изменяет

значение остатка i ()z на величину i ()z , так, что получается новое значение * i()()()z  i z    i z . При этом правильный полином

A( z ) (12 ( z ),..., ik ( z ),...,   ( z )) , принадлежащий рабочему диапазону, преобразуется в запрещенный полином ** A( z ) (12 ( z ),..., ik ( z ),...   ( z )) , лежащий вне рабочего диапазона. Таким об- разом, зная номер интервала, куда попал искаженный полином Az*() , можно определить основание, по которому произошла ошибка, а также ее глубину этой ошибки. Согласно китайской теореме об остатках, используемой для преобразования из модулярного кода в позиционный код, значение ошибочного полинома A*(z) в этом случае определяется выражением k2  Az* () ()()mod() zBz PzAz  ()   ()() zBz (13)  i i j j Pz() i1 пол где – Bi(z) – ортогональный базис i-го основания МПК. Анализ выражения (13) показывает, что местоположение ошибочного поли-

нома A*(z) относительно рабочего диапазона Pzраб () определяется величиной второго слагаемого. Данное свойство модулярных кодов и предопределило повышенный интерес разработчиков к позиционной характеристике – интервальный номер полинома lz() [10]. Процесс определения данной характеристики осуществляется согласно выражения . (14) lинт()()/() z  A z P раб z Несмотря на то, что процедура (14) относится к немодульным, ее сводят к со- вокупности модульных операций. В работе [6] представлено устройство, осущест- вляющее обнаружение и коррекцию ошибки в модулярном коде на основе вычис- ления интервального номера. В основу данного алгоритма положено свойство по- добия ортогональных базисов полной, содержащей контрольные основания, и без- избыточной системы МПК, согласно которому * , (15) Bi ( z )  Bi ( z )mod Pраб( z ) * где Bi (z) и Bi(z) – ортогональные базисы безизбыточной и полной системы. Тогда согласно (15) справедливо * , (16) Bi ( z )  Ri ( z ) Pраб( z )  Bi ( z ) где . Ri ( z )  Bi ( z ) Pраб( z ) Подставив последнее равенство в выражение (13) получаем k2 * . (17) lинт() z i ()(() z R i z Р раб () z  B i ()) z  K () z P полн ()) z P раб () z i1 где K(z) – ранг полной системы оснований МПК.

238

Раздел V. Прикладные вопросы информационной безопасности

Проведя упрощения, имеем kk2  * . (18) lzинт() i ()() zRz i  j ()() zBzPz j раб ()  KzPzPz () полн ()) раб () ij11 Так как множество значений интервального номера lинт(z) представляет собой k2 кольцо по модулю , то выражение (18) имеет вид Рконт()() z  p i z ik1 kr  lинт()()()*() z i z R i z K z , (18) i1 Pzконт () где Kz* () – ранг безизбыточной системы определяется выражением k **. (19) K()()()() z  jj z B z Pраб z j1 Следовательно, если lинт(z)= 0, то исходный полином А(z) лежит внутри ра- бочего диапазона и не является запрещенным. В противном случае А(z) – ошибоч- ная комбинация. Пусть задан модулярный полиномиальный код, который имеет 2 4 3 2 рабочие основания р1(z)=z+1; р2(z)=z +z+1; р3(z)=z +z +z +z+1. В качестве 4 3 4 контрольных оснований используются полиномы р4(z)=z +z +1; р5(z)=z +z+1, которые удовлетворяют условию (12). Тогда рабочий диапазон равен 3 7 6 5 2 . В табл. 1 представлены номера Pраб( z ) p i ( z )  z  z  z  z  z  1 i1 * интервалов, в которые попадают ошибочные полиномы Al (z),при возникновении однократной ошибки по основаниям МПК Таблица 1 Распределение однократных ошибок кода МПК Интервал, представленный в по- Основание ПСКВ Глубина  (z) i линомиальной форме 7 4 2 p1(z)=z+1 1 z +z +z +z 1 z7+z5+z2+z+1 p (z)=z2+z+1 2 z z7+z6+z5+z4+z2 1 z7+z4+z3+z+1 4 3 2 7 3 p3(z)=z +z +z +z+1 z z +z +z+1 z2 z7+z5 z3 z7+z6+z5+z4+z3+z+1 1 z7+z4+z3 4 3 7 3 p4(z)=z +z +1 z z +z +z+1 z2 z7+z5+z3+z2 z3 z7+z6+z5+1 1 z5+z4+z 4 6 5 2 p5(z)=z +z+1 z z +z +z z2 z7+z6+z3 z3 z5+z3+z+1 Анализ таблицы показывает, что ошибка переводит разрешенную модуляр- ную комбинацию в соответствующий интервал полного диапазона. Очевидно, что использование двух контрольных оснований, удовлетворяющих (12), позволяет по

239 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

величине lинт(z) определить местоположение и глубину i ()z ошибки. При этом такой избыточный модулярный код способен исправить более 90 процентов дву- кратных ошибок. Заключение. В работе показана целесообразность использования математи- ческой модели цифровой обработки сигналов, реализуемой в кольце полиномов. Применение модулярного полиномиального кода позволяет повысить точность и скорость обработки сигналов за счет выполнения арифметических операций над малоразрядными остатками. Кроме этого использование модулярного полиноми- ального кода позволяет обеспечить коррекцию искаженного результата в условиях воздействия помех при передаче и отказа оборудования.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК 1. Rohde & Schwarz. R&S FSQ-K96 OFDM Vector Signal Analysis with the R&S FSQ Signal Analyzer. Product Brochure, V. 1.00, March 2008 2. Yong Soo Cho, Jaekwon Kim, Won, Young, Chung G. Kang MIMO-OFDM Wireless Commu- nications with MATLAB, – WILEY, 2010. 3. Farinas Edalat Sub-carrier Adaptive Modulashion and Coding in OFDM, LAMBERT, 2010. 4. Чипига А.Ф., Шевченко В.А., Сенокосова А.В., Дагаев Э.Х. Математическая модель тран- сионосферного канала с учетом поглощения и многолучевости принимаемого сигнала // Вестник Северо-Кавказского государственного технического университета. – 2011. – № 1. – С. 23-28. 5. Катков К.А., Пашинцев В.П., Гахов Р.П. Адаптивный алгоритм определения вектора про- странственно-временных координат // Вопросы радиоэлектроники. – 2013. – Вып. 1. – С. 138-150. 6. Калмыков И.А., Воронкин Р.А, Резеньков Д.Н., Емарлукова Я.В. Генетические алгоритмы в системах цифровой обработки сигналов // Нейрокомпьютеры: разработка и примене- ние. – 2011. – Вып. 5. – С. 20-27. 7. Калмыков, И.А., Дагаева О.И. Применение системы остаточных классов для формирования псевдослучайной функции повышенной эффективности // Вестник Северо-Кавказского тех- нического университета. – 2012. – Вып. 3. – С. 26-30 8. Калмыков И.А., Зиновьев А.В., Емарлукова Я.В. Высокоскоростные систолические отка- зоустойчивые процессоры цифровой обработки сигналов для инфокоммуникационных систем // Инфокоммуникационные технологии. – 2009. – Т. 7, № 2. – С. 31-37. 9. Hosseinzadeh M., Navi K., Gorgin S. A New Moduli Set for Residue Number System. Electri- cal Engineering, 2007. ICEE’07. International Conference on. 11–12 April 2007. – P. 1-6. 10. Калмыков И.А. Математические модели нейросетевых отказоустойчивых вычислитель- ных средств, функционирующих в полиномиальной системе классов вычетов / Под ред. Н.И. Червякова – М.: Физматлит, 2005. – 276 с. Статью рекомендовал к опубликованию д.т.н., профессор О.Б. Макаревич. Калмыков Игорь Анатольевич – Институт информационных технологий и телекоммуникаций Северо-Кавказского федерального университета, г. Ставрополь; e-mail: [email protected]; 355040 г. Ставрополь, ул. Шпаковская, 92, кор. 1, кв. 28; тел.: 88652731380, 89034163533; кафед- ра информационной безопасности автоматизированных систем; д.т.н.; профессор. Саркисов Артем Брониславович – e-mail: [email protected]; 355000 г. Ставрополь, пр. Кулакова, 27, кв. 38; тел.: 88652956546; кафедра информационной безопасности автоматизированных сис- тем; аспирант. Макарова Алена Васильевна – e-mail: [email protected]; 355000 г. Ставрополь, ул. Ленина, 445; тел.: 89187647533; кафедра информационной безопасности автоматизированных систем; аспирантка. Kalmykov Igor Anatolyevich – Institute of Information Technologies and Telecommunications, North-Caucasus Federal University, Stavropol; e-mail: [email protected]; 92, Shpakovskaya street, k. 1, fl. 28, Stavropol, 355000, Russia; phones: +78652731380, +79034163533; the department of information security of automated systems; dr. of eng. sc.; professor.

240

Раздел V. Прикладные вопросы информационной безопасности

Sarkisov Artyom Bronislavovich – e-mail: [email protected]; 27, pr. Kulakova, fl. 38, Stavropol, 355000, Russia; phone: +78652956546; the department of information security of automated systems; postgraduate student. Makarova Alyona Vasil’evna – e-mail: [email protected]; 445, Lenina street, Stavropol, 355000, Russia; phone: +79187647533; the department of information security of automated systems; postgraduate student.

УДК 004.056:061.68

В.М. Федоров, Д.П. Рублев, Е.М. Панченко ИДЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЯ ПО ВИБРОАКУСТИЧЕСКИМ ШУМАМ, ВОЗНИКАЮЩИМ ПРИ НАБОРЕ ПРОИЗВОЛЬНОГО ТЕКСТА НА КЛАВИАТУРЕ*

Рассмотрена проблема идентификация пользователя по виброакустическому сигна- лу, возникающему при наборе произвольного текста на клавиатуре. Для повышения точно- сти идентификации пользователя по виброакустическим шумам разработан метод удале- ния пауз удалялись паузы между нажатиями/отпускания клавиш клавиатуры. Была сфор- мирована обучающая выборка виброакустических шумов возникающих при нажа- тии/отпускании клавиш и виброакустических шумов присутствующих в паузах при наби- рании текста. Полученные выборки были использованы как обучающие данные для обуче- ния нейронной сети. Для выделения участков с паузами виброакустические сигналы разби- вались на интервалы длиной 1024 точек с перекрытием на половине интервала, в случае принадлежности участка к паузе, данный участок удалялся. Рассмотрены и произведен выбор устойчивых признаков, характеризующих личность пользователя: коэффициенты Фурье преобразования, кепстр, коэффициенты линейного предсказания. Рассмотрены ме- тоды идентификации пользователя на основе статистических параметров, гауссовские смешанные модели и нейронных сетей. Показана возможность идентификации пользова- теля по виброакустическим шумам, возникающим при наборе данных на клавиатуре, оце- нена вероятность правильной распознавания пользователя для созданной базы виброаку- стических сигналов пользователей. Виброакустический сигнал; дискретное Фурье преобразование; кепстральные коэф- фициенты; нейронные сети; коэффициенты линейного предсказания; гауссовские смешан- ные модели; идентификация; контроль доступа.

V.M. Fedorov, E.M. Panchenko, D.P. Rublev USER IDENTIFICATION BASED ON VIBROACOUSTIC NOISES ORIGINATED FROM ARBITRARY TEXT TYPING

In presented work the user identification task based on vibroacoustic signal originated from typed arbitrary text is reviewed. To increase identification accuracy the method of keypresses/releases pauses removal was developed. A training sets consisting of vibroacoustics signals of keypresses/releases and vibroacoustics noises in pauses has been developed. Obtained sets were used as training data for neural net. Pauses detection was done in running window with 1024 samples length overlapped by ½ of its length. If window fragment was detected as belonging to pause segment, this fragment was removed. Features for detection user identity were considered and stable set of features was selected, namely: Fourier transform coefficients, cepstral coefficients and linear prediction coefficients. User identification methods based on statistical parame-

* Работа выполнена при поддержке гранта РФФИ №12-07-00674-а.

241 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences ters, mixed Gaussian models and neural nets were reviewed. Feasibility of user identification based on analysis of vibroacoustics noises originating from typing was shown, probability of suc- cessful user identification on created base of vibroacoustics signals originated by several users was estimated. Vibroacoustic signal; discrete Fourier transform; cepstral coefficients; neural nets; linear prediction coefficients; Gaussian mixed models; identification; access control. Для повышения безопасности информационных сетей при использовании контроля доступа в процессе идентификации используются дополнительные фак- торы, в том числе биометрические, в частности клавиатурный почерк. Эффектив- ность системы идентификации определяется качеством распознавания, зависящим от степени уникальности параметров пользователя. Клавиатурный почерк относится к динамическим (поведенческим) биомет- рическим характеристикам, описывающим подсознательные действия, привычные для пользователя. Он характеризует динамику ввода парольной фразы с помощью клавиатуры. Стандартная клавиатура позволяет измерить следующие временные характеристики: время удержания нажатой клавиши и интервал времени между нажатиями клавиш. Клавиатурный почерк могут характеризовать и другие параметры, описанные в работе [1]: общее время набора парольной фразы, частота возникновения ошибок при наборе, факт использования дополнительных клавиш (использование число- вой клавиатуры), особенности ввода заглавных букв (использование клавиши Shift или Caps Lock) и т.д. Идентифицировать пользователя по почерку работы с клавиатурой можно двумя способами:  по набору произвольно выбранного текста;  по набору специально выбранной ключевой фразы. Оба способа подразумевают режимы настройки и идентификации. В режиме настройки производится считывание и запоминание эталонных характеристик пользователя. В режиме идентификации происходит статистическая обработка результатов наблюдений за параметрами пользователя, исключение грубых оши- бок и сравнение с эталонными характеристиками. Для идентификации обычно ис- пользуют следующие методы:  метод гауссовских смешанных моделей;  методы дисперсионного и регрессионного анализа;  метод нейронных сетей, позволяющий обучать систему идентификации на его основе и с наибольшей точностью идентифицировать пользователя по клавиатурному почерку. Привлекательность использования клавиатурного почерка основана на отсут- ствии дорогостоящих устройств ввода биометрических параметров для идентифи- кации и возможность контроля за процессом использования данной ПЭВМ ле- гальным пользователем. Наряду с этими достоинствами, данный метод позволяет получить низкие значения ошибок первого и второго рода. Предлагаемый метод, основанный на регистрации виброакустических шумов при наборе данных с клавиатуры позволит повысить точность идентификации пользователей при незначительном увеличении дополнительного оборудования: виброакустические датчики, устанавливаются непосредственно на рабочем столе пользователя, данные с которых вводятся в звуковую карту для дальнейшего ана- лиза. Использование двух датчиков позволяет повысить надежность системы и повысить точность идентификации пользователя.

242

Раздел V. Прикладные вопросы информационной безопасности

Как уже отмечалось в предыдущих работах, [2–4], типичные скорости ввода для пользователя составляют до 300 символов в минуту, средний период между нажатием и отпусканием клавиши составляет порядка 75–150 миллисекунд. Этого времени достаточно, чтобы разделить сигналы, возникающие при нажатии и от- пускании клавиши. Для идентификации пользователя предварительно из записанного виброаку- стического сигнала произвольного текста набранного каждым пользователем уда- лялись паузы между нажатиями/отпускания клавиш клавиатуры. Предварительно виброакустические сигналы фильтровались по методике, описанной в работе [3]. Для проведения процедуры удаления была использована следующая методи- ка, которую авторы использовали для удаления пауз уз речевого сигнала в системе распознавания диктора [5]. Оператором с использованием звукового редактора, формировалась обучающая выборка виброакустических шумов возникающих при нажатии/отпускании клавиш и виброакустических шумов присутствующих в пау- зах при набирании текста. Полученные выборки были использованы как обучаю- щие данные для обучения нейронной сети. В качестве векторов признаков исполь- зовались первые 75 значений коэффициентов Фурье, вычисленных на участках виброакустического сигнала возникающих как при нажатии/отпускании клавиш клавиатуры, так и шумах, наблюдающихся в паузах при наборе текста. Для выде- ления участков виброакустические сигналы разбивались на интервалы длиной 1024 точек с перекрытием на половине интервала. В качестве нейронной сети ис- пользовался двухслойный персептрон с двумя скрытыми слоями по 100 нейронов в каждом слое и одним выходным нейроном. На рис. 1 показаны ответы нейрон- ной сети при подаче на входы векторов признаков вычисленных на виброакусти- ческом сигнале не участвовавшем при обучении нейронной сети.

Рис. 1. Выход нейронной сети при подачи виброакустического сигнала на ее входы

На рис. 2 показаны исходный сигнал и сигнал с удаленными паузами между моментами нажатия/отпускания клавиш. Процедура удаления пауз для дальнейше- го распознавания сигнала является необходимой при распознавании, так как сиг- нал от пауз влияет на количество правильно отнесенных интервалов к общему ко- личеству рассмотренных интервалов. Данный факт подтверждается эксперимен-

243 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

тальными результатами, количество правильно распознанных интервалов снижа- ется в зависимости от общего размера пауз и может достигать 15–25 % от общего количества интервалов, участвующих в идентификации пользователя.

Рис. 2. Результат удаления пауз из виброакустического сигнала: верхний график – исходный сигнал, нижний – сигнал с удаленными паузами

Для идентификации пользователя использовался следующий алгоритм: очи- щенный от пауз исследуемый виброакустический сигнал, в данном случае возни- кающий при наборе произвольного текста пользователями, разбивался на пере- крывающиеся интервалы, длина которых выбиралась для идентификации пользо- вателя с наименьшей погрешностью. В качестве признаков были рассмотрены сле- дующие вектора вычисляемые на интервалах, на которые разбит виброакустиче- ский сигнал: кепстральные коэффициенты, вычисленные по коэффициентам ли- нейного предсказания, собственно коэффициенты линейного предсказания, коэф- фициенты преобразования Фурье. Основным требованиям, предъявляемым к век- торам, используемым для идентификации пользователя – устойчивость для всех пользователей в системе распознавания. Размерность вектора признака определя- лась по дисперсиальному критерию для всех типов рассматриваемых векторов. Так, для коэффициентов Фурье, дисперсия показана на рис. 3. Проведенные исследования показали, что для идентификации пользователя по виброакустическим сигналам, возникающим при наборе произвольного текста наиболее устойчивыми признаками являются коэффициенты преобразования Фурье. Интервал разбиения виброакустического сигнала был выбран равный 1024 точки с перекрытием 512 точек. Согласно дисперсионному критерию, размерность вектора признаков, для идентификации пользователя по виброакустическим сигналам, воз- никающим при наборе произвольного текста, как и в случае удаления пауз, была выбрана равной 75. Была создана база виброакустических сигналов возникающих при наборе произвольного текст на клавиатуре различными пользователями. В каче- стве системы распознавания была использована нейронная сеть, аналогичная сети, использованной для удаления пауз из виброакустического сигнала.

244

Раздел V. Прикладные вопросы информационной безопасности

Для каждого пользователя была обучена сеть для его идентифицирования. Для анализа качества работы сети была создана база виброакустических сигналов, которая не использовалась для обучения. Отметим, что в качестве контрпримеров для каждого пользователя использовались признаки только два пользователя. В табл. 1 приведены данные по идентификации пяти пользователей. Вычислялось отношение количества интервалов отнесенных при распознавании к данному пользователю к общему количеству рассматриваемых интервалов.

Рис. 3. Дисперсия коэффициентов Фурье, вычисленная на интервале длиной 1024 точек

Таблица 1 Отношение правильно распознанных интервалов к общему количеству интервалов для разных пользователей Номер 1 2 3 4 5 пользователя 1 0,123 0,0565 0,0443 0, 0576 0,0603 2 0,0341 0,135 0,0378 0,0468 0,0561 3 0,0241 0,0751 0,121 0,0348 0,0871 4 0,0522 0,0673 0,0503 0,144 0,0721 5 0,0332 0,0625 0,0843 0,0407 0,151 Для устранения зависимости этапа удаления пауз от предварительного обу- чения нейросети был разработан алгоритм выделения фрагментов, содержащих виброакустический сигнал нажатия/ отпускания клавиш на основе ошибки линей- ного предсказания и последующего удаления единичных максимумов. Данный алгоритм позволяет выделять ВЧ область фрагмента сигнала нажатия/отпускания и отфильтровывать послезвучание, являющееся колебаниями системы “клавиату- ра-подставка” на резонансных частотах. На первом шаге работы алгоритма фор- мируется первая производная исходного сигнала и производится оконное разбие- ние сигнала производной на фрагменты длиной 1024 отсчёта с 87 % перекрытием. На втором этапе вычисляется ошибка линейного предсказания и устанавливается значение адаптивного порога в скользящем окне, равное медианному значению сигнала. Переход из состояния ”шум” в состояние “сигнал” и обратно производит- ся с устранением единичных пересечений порогового уровня в пределах заданной

245 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

длительности временных интервалов соответствующих нажатиям и отпусканиям клавиш. На рис. 4 приведены графики фрагмента исходного сигнала и границы выделенных фрагментов.

Рис. 4. Границы фрагментов нажатия/отпускания клавиш

Полученные на данный момент предварительные результаты, свидетельст- вуют об эффективности предложенного алгоритма сегментации. В дальнейшем планируется модификация алгоритма для разделения перекрывающихся во време- ни сигналов нажатия клавиш.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК 1. Ilonen J. Keystroke Dynamics // Lappeenranta University of Technology. 2008. 2. Фёдоров В.М., Рублёв Д.П. Методы предварительной обработки виброакустических сиг- налов от клавиатуры возникающих при наборе текста // Информационное противодей- ствие угрозам терроризма. – 2012. – № 18. – С. 172-175. 3. Фёдоров В.М., Рублёв Д.П. Фильтрация виброакустических сигналов от клавиатуры и манипулятора мышь, возникающих при работе оператора // Информационное противо- действие угрозам терроризма. – 2012. – № 19. – С. 160-162. 4. Федоров В.М., Рублев Д.П. Обработка виброакустических шумов, возникающих при работе пользователя с клавиатурой // Известия ЮФУ. Технические науки. – 2012. – № 12 (137). – С. 75-81. 5. Бабенко Л.К., Макаревич О.Б., Федоров В.М., Юрков П.Ю. Голосовая текстонезависимая система аутентификации (идентификации) пользователя // Известия высших учебных заведений. Радиоэлектроника. – 2004. – Т. 47, № 3. – С. 66-70. Статью рекомендовал к опубликованию к.т.н. М.Ю. Руденко. Федоров Владимир Михайлович – Федеральное государственное автономное образова- тельное учреждение высшего профессионального образования «Южный федеральный уни- верситет»; e-mail: [email protected]; 347928, г. Таганрог, ул. Чехова, 2; тел.: 88634371905; к.ф.-м.н.; доцент. Рублёв Дмитрий Павлович – e-mail: [email protected]; к.т.н.; доцент. Панченко Евгений Михайлович – НИИ физики Южного федерального университета; e-mail: [email protected]; 344090, г. Ростов-на-Дону, проспект Стачки, 194; тел.: 88632433676; д.ф.-м.н.; зав. отделом. Fedorov Vladimir Mikhailovich – Federal State-Owned Autonomy Educational Establishment of Higher Vocational Education “Southern Federal University”; e-mail: [email protected]; 2, Chekhova street, Taganrog, 347928, Russia; phone: +78634371905; cand. of phis.-math. sc.; associate professor. Rublev Dmitry Pavlovich – e-mail: [email protected]; cand. of eng. sc.; associate professor. Panchenko Evgeny Mikhailovich – Institute of Physics, Southern Federal University; e-mail: [email protected]; 194, Stachki avenue, Rostov-on-Don, 344090, Russia; phone: +78632433676; dr. of phis.-math. sc.; head of department.

246

Раздел V. Прикладные вопросы информационной безопасности

УДК 004.032.24

С.А. Ховансков, К.Е. Румянцев, В.С. Хованскова АЛГОРИТМ ПРОГРАММНОГО МОДУЛЯ ДЕЦЕНТРАЛИЗОВАННОЙ СИСТЕМЫ УПРАВЛЕНИЯ ДЛЯ СОЗДАНИЯ БЕЗОПАСНЫХ РАСПРЕДЕЛЕННЫХ ВЫЧИСЛЕНИЙ В НЕУСТОЙЧИВОЙ ВЫЧИСЛИТЕЛЬНОЙ СРЕДЕ

Существует множество сложных задач имеющих жесткое ограничение по времени решения. С целью сокращения времени решения таких задач и повышения безопасности вычислительного процесса предлагается метод организации распределенных вычислений на базе масштабируемой компьютерной сети. Сеть представляет собой неустойчивую вы- числительную среду, состоящую из автономных узлов. Для организации вычислений в сети используется мультиагентая система. Под мультиагентной системой понимается сово- купность одинаковых программных модулей расположенных на компьютерах сети. В ходе выполнения задачи все агенты, с целью сокращения времени решения, образуют децентра- лизованную систему управления распределенными вычислениями. Эта система позволяет реализовать такие функции как динамическая оптимизация назначений вычислительных блоков задач компьютерам в соответствии с их вычислительными ресурсами, слежение за процессами выполнения задач и в случае необходимости переназначение вычислительной нагрузки между узлами. Это позволяет обеспечить безопасность и «живучесть» созда- ваемых вычислительных процессов в компьютерной сети. Распределенные вычисления; многовариантное моделирование; мультиагентная сис- тема; оптимизация конфигурации вычислительной системы.

S.A. Khovanskov, C.E. Rumyantsev, V.S. Khovanskovа THE ALGORITHM OF THE PROGRAM MODULE OF A DECENTRALIZED MANAGEMENT SYSTEM TO CREATE A SECURE DISTRIBUTED COMPUTING IN AN UNSTABLE ENVIRONMENT

There are many complex tasks with strict time limit solutions . To reduce the time for solving such problems and improve the security of computing process we propose a method of organizing distributed computing based on the scalable network. The Network is an unstable computing environment consisting of autonomous nodes. For the organization of computing network uses multiagent system. Under the multi-agent system is a set of identical software modules located on network computers. During task all the agents in order to reduce solution time , form a decentralized system of management of distributed computing. This system allows for features such as dynamic optimization purposes of computing units computer tasks according to their computing resources, tracking progress of the task and , if necessary, reassign the processing load between nodes. This allows you to ensure the safety and "persistence" generated computing processes in a computer network. Distributed computing using multivariate modeling; multiagent system; optimize the configuration of a computer system. В настоящее время множество задач требуют выполнения большого объема вычислений за минимальное время. К ним относятся задачи моделирования. Сегодня задачи моделирования, решают не только математики и инженеры, создающие сложные системы безопасности или дорогостоящие технические со- оружения. Необходимость их решения возникает и у многих политических деяте- лей, дипломатов, администраторов и людей иных профессий, которым требуется принимать решения на основе прогнозирования развития текущих процессов часто с выбором наилучшего варианта решения задачи.

247 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Решая задачи моделирования, мы имеем дело с многомерными динамиче- скими задачами, где все величины зависят от времени: что создаёт определенные сложности и трудности. При этом, несмотря на множество возможных решений должен быть выбран только один вариант. Но какой именно вариант или какую комбинацию вариантов в данный момент и в данной ситуации выберет если си- туация острая и от этого выбора зависит многое. На практике задачи моделирования требуют выбора наилучших решений не по одному, а сразу по нескольким критериям (многокритериальные задачи оптимиза- ции), которые привносят дополнительные и не всегда разрешимые трудности. Если объект и его параметры являются переменными, зависящими от времени, то в этом случае используются более сложные стратегии решения задач моделирования. Перед многокритериальными задачами логико-математические методы па- суют. Здесь число оптимальных решений равно числу критериев оптимальности (для каждого критерия своё), а понятие общего оптимума теряет смысл. Много- критериальность создаёт ситуацию неопределённости. Для выбора конечного ре- шения существует аппарат прикладной математики, приспособленный для реше- ния с помощью вычислительных машин многих практических задач оптимизации. Несмотря на это, проблема поиска оптимальных решений за приемлемое время становиться все более актуальной [1, 2]. Прежде всего, выбор одного из многих вариантов может потребовать огром- ного перебора параметров, недоступного даже для самой быстродействующей ЭВМ. Подсчитано, например, что при решении задачи распределения 20 критериев по 10 объектам число возможных вариантов составит 108. Даже если расчет каж- дого варианта потребует всего 10 арифметических операций, то и тогда общее число расчетных операций достигнет миллиарда, что не может быть выполнено ЭВМ в приемлемые сроки. С другой стороны, чем больше выбор альтернативных вариантов, тем больше вероятность отыскания наилучшего решения. Многовариантные задачи можно рассмотреть за приемлемое время лишь с помощью логико-математических мето- дов оптимизации и ускорения выполнения задачи на современных компьютерах. Самым популярным решением этой проблемы в настоящее время является использование распределенных вычислений [1–5]. В качестве вычислительной среды для организации распределенных вычис- лений может использоваться либо мультипроцессорная вычислительная машина, либо многомашинная вычислительная система, либо обычная компьютерная сеть,. Из них наиболее доступной вычислительной системой, на которой возможно выполнять распределенные вычисления, является сеть, обладающая достаточным или избыточным количеством центров обработки данных (локальная, глобальная сети). В ней при организации распределенных вычислений каждому вычислитель- ному блоку задачи должен ставиться в соответствие компьютер с учетом пропуск- ной способности физических связей в сети, способных реализовать потоки переда- ваемой информации между вычислительными блоками [2, 3, 6]. При организации выполнения распределенных вычислений в обычной ком- пьютерной сети основными проблемами являются организация совместной работы компьютеров в сети, распределение между ними вычислительной нагрузки, под- держка работоспособности системы, подбор компьютеров в сети. Методов организации такой распределенной вычислительной системы мно- жество. Основным недостатком этих методов является использование труда про- граммиста на конфигурацию и настройку системы под конкретную задачу [2, 3], а также расход вычислительных ресурсов и времени на оптимизацию системы, спо- собной удовлетворять требованиям к отводимым временным ресурсам [4, 6].

248

Раздел V. Прикладные вопросы информационной безопасности

Наряду с этими методами существует множество специальных языков про- граммирования, которые позволяют программистам организовывать распределен- ные вычисления в сети для решения объемных задач. Недостатком такой органи- зации являются значительные временные затраты. Это накладывает определенные ограничения на быстродействие решения задачи и предъявляет требования к ис- пользуемым вычислительным ресурсам как по надежности, так и по производи- тельности. В основном таким путем организуется решение задач, имеющих между вычислительными блоками низкую степень связности по данным. Основной задачей решаемой авторами было создание метода позволяющего свести к минимуму подготовительные этапы для решения любой задачи, исполь- зовать в качестве вычислительных центров любые компьютеры сети с нестабиль- ной вычислительной средой, оптимизировать время выполнения задачи за счет подбора компьютера обладающего достаточными вычислительными ресурсами для выполнения конкретного вычислительного блока. В тоже время создаваемая система должна быть работоспособной при любом наборе компьютеров, как по количеству, так и по производительности, иметь высокую степень безопасности- не терять работоспособность и выполнять решение за отведенные под задачу вре- менные ресурсы при динамическом изменении набора компьютеров составляю- щих масштабируемую вычислительную сеть [4, 6]. В качестве наиболее перспективного пути организации выполнения распре- деленных вычислений в компьютерной сети было выбрано использование муль- тиагентной системы реализующей метод коллективного принятия решения [6]. Под мультиагентной системой в данном случае понимается набор агентов, каждый из которых представляет программный модуль и помещается на отдель- ном компьютере. Агент выполняет управление только своим компьютером и по- этому его работа является независимой. Он организует решение задач на своем компьютере, инициирует обмен данными с компьютерами других агентов, выпол- няет обработку полученной от других агентов информации и на ее основе прини- мает решения. Все агенты образуют однородную систему и работают по одному и тому же алгоритму. Отличительной особенностью мультиагентной системы является спо- собность увеличивать число образующих ее компьютеров путем передачи копии программного модуля агента в свободные компьютеры. Благодаря тому, что аген- ты работают по одному алгоритму, возможно решение поставленных задач мето- дом принятия коллективного решения. Для решения перечисленных выше основных проблем был разработан алго- ритм работы агента мультиагентной системы который позволяет организовать распределенную вычислительную систему на основе мультиагентной системы. Основной алгоритм программы-агента реализует следующие задачи:  получение информации от компьютеров-источников;  выполнение на компьютере требуемых операций над полученной инфор- мацией;  передача результата компьютеру-получателю. Основная проблема, возникающая при такой организации распределенных вычислений, заключается в том, что компьютеры в сети обладают разными вычис- лительными мощностями. Это приводит к тому, что при организации распреде- ленных вычислений возможны множество различных вариантов назначения вы- числительных блоков задачи компьютерам сети, которые оказывают различное влияние на время выполнения задачи. Это пытаются учитывать, предварительно выбирая из множества наиболее оптимальный вариант, обеспечивающий требуе- мое время решения задачи [7, 8].

249 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Существует несколько путей для решения проблемы выбора нужного вари- анта. Задача выбора может быть упрощена путем подбора для организации рас- пределенных вычислений компьютеров, имеющих одинаковую вычислительную мощность. Недостатком этого пути является ограничение круга решаемых задач только задачами обрабатывающими большой массив данных и состоящих из одно- го небольшого вычислительного блока. Другой путь заключается в предваритель- ном поиске оптимального варианта назначения из множества имеющихся [4]. Ос- новным недостатком этого пути является то, что выбор оптимального варианта назначение вычислительных блоков задачи компьютерам сети требует дополни- тельных временных затрат, которые могут значительно превышать время решения самой задачи. Для организации распределенных вычислений все множество операций, вы- полняемых при решении задачи, предварительно делят по функциональным при- знакам на вычислительные блоки, образуя граф B с M количеством блоков, а вы- числительная система, в данном случае сеть, представляется в виде графа вычис- лительных ресурсов T имеющего N центров обработки данных. В [3, 5] предложен алгоритм выбора оптимального варианта отрабатываемый агентами. Реализация распределенных вычислений начинается с наложения графа B на граф T. Для этой реализации должно быть выполнено условие N  M . В каждую вершину записывается и активируется программный код агента . t j ai

Каждый агент содержит вычислительный блок bi информацию о направлении потоков данных между соединенных с ним вершинами графа B. Наложение вы- полняется случайным образом, как только будут обнаружены в количестве M цен- тры обработки информации. После запуска вычислительных процессов данные поступают входным аген- там частями. По мере их обработки данные передаются в направлении выходных агентов в соответствии с связями графа B. Обработка агентом одной части данных является шагом. После каждого шага агенты передают соседним агентам обработанные данные и обмениваются с ними служебной информацией. Получая служебную информа- цию, агенты на фоне решения задачи выполняют поиск методом парных перестано- вок оптимального варианта наложения вершин графа B на вершины графа T. Алгоритм поиска основан на том, что среди всех маршрутов передачи дан- ных от входных агентов к конечным всегда есть критический маршрут, по которо- му передача данных занимает наибольшее время. Это время и является опреде- ляющим фактором общего времени решения задачи. Агенты, делая парные пере- становки, перебирают варианты наложения и находят вариант, уменьшающий время передачи данных по критическому маршруту, а в конечном итоге умень- шающий общее время обработки данных. Во время решения задачи под управлением агентов выполняется оптимиза- ция вычислительной системы для ускорения процесса решения. Каждому вычис- лительному блоку графа задачи наиболее оптимально ставится в соответствие вы- числительный узел графа вычислительной системы. Алгоритм поиска продолжает отрабатываться агентами и после того как оптимальный вариант наложения вер- шин графа B на вершины графа T будет найден. Но при этом время решения зада- чи на данной конфигурации вычислительной системы уже невозможно уменьшать из-за постоянства имеющихся вычислительных ресурсов графа T. Для примера на рис. 1,а изображен исходный граф B с количеством блоков М=11.

250

Раздел V. Прикладные вопросы информационной безопасности

Для организации распределенных вычислений выбрана локальная сеть Т, имеющая значение N=14, при этом выполняется условие N  M . Граф B был наложен случайным образом на граф Т и после нескольких шагов работы вычис- лительной системы был найден оптимальный вариант наложения (рис. 1,б ) графа B на граф Т.

t1 b1 t t2 5 b4

t3 t6 b2 t12 b5

b6 t7 t4 t13 t14 b8 t b3 b11 t11 10 b9 t t 8 9

b7 b10

а б Рис. 1. Исходный граф B (а) и вариант наложения графов B и T (б)

С целью дальнейшего сокращения общего времени обработки данных разра- ботан алгоритм работы агентов, позволяющий продолжить уменьшать общее вре- мя решения задачи. Алгоритм агента 1. Получение входных данных. 2. Формирование адреса узла сети. 3. Этот адрес использовался? Да то к п.1. 4. Передача по сформированному адресу вербуемого узла служебной ин- формации. 5. Пришел ответ от вербуемого узла? Нет, то к п.1. 6. Передача служебной информации соседним узлам графа B о завербован- ном узле. 7. Конец алгоритма. Алгоритм основан на привлечении дополнительных вычислительных уст- ройств в процесс решения некоторых вычислительных блоков графа B задачи. По- скольку вычислительная система представляет собой совокупность компьютеров объединенных в сеть или являющихся частью компьютерной сети. Это дает воз- можность вовлекать (вербовать) в процесс решения задачи «свободных» компью- теров, т.е. не вошедших в граф вычислительной структуры, что и позволяет про- должить сокращение времени решения задачи. Свободные компьютеры могут быть завербованы программой-агентом нахо- дящейся на одном из компьютеров графа Т. Вербовать может любой агент. Вербовка заключается в том, что программа- агент передает свою копию на свободный компьютер и активизирует ее в случае если на нем нет программы-агента.

251 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

После нахождения оптимального варианта назначения общее время прохож- дения данных по вершинам графа задачи по-прежнему определяется критическим маршрутом. Каждый агент определяет свое местонахождение относительно критического

маршрута. Агент принадлежащий критическому маршруту и выполняющий bi за определенное время вербует вычислительный узел w(N  M). Для этого он передает служебную информацию соседним с ним компьютерам и вычислительный модуль агенту завербованного компьютера. Появляется новая вершина в графах задачи и вычислительной системы. Та- ким образом, может быть завербован случайным образом любой компьютер сети, например t14 . После включения завербованного компьютера в вычислительную систему в постоянно повторяющемся процессе оптимизации варианта назначения будут уча- ствовать и вычислительные ресурсы узла w . После нескольких шагов будет най- дено новое оптимальное соответствие между вершинами графов задачи и вычис- лительной системы имеющее меньшее общее время прохождения данных по вер- шинам графа задачи. В приведенном на рис.1 варианте время прохождения данных через вычисли- тельную систему при оптимальном варианте определяется критическим маршру- t том rкрит  (t1,t5,t6,t9 ,t10 ). После выполнения агентом узла t алгоритма вер- 9 бовки свободного узла был завербован узел . После1 обмена между узлами и t14 информацией граф T изменился (рис. 2). t 1 t t t 2 t5 2 4

t3 t6 t12 t t t t4 7 t 13 t14 13 6

t11 t10 t t t 7t8 t9 9 12

Рис. 2. Вариант наложения измененного графа B и графа T

Благодаря этому время прохождения данных через вычислительную систему уменьшилось, поскольку оно определяется новым критическим маршрутом rкрит  (t1,t5,t8,t11).

252

Раздел V. Прикладные вопросы информационной безопасности

БИБЛИОГРАФИЧЕСКИЙ СПИСОК 1. Хованскова В.С., Румянцев К.Е., Ховансков С.А. Метод повышения защиты работоспо- собности распределенных вычислений в компьютерных сетях // Известия ЮФУ. Техни- ческие науки. – 2012. – № 4 (129). – С. 102-107. 2. Ховансков С.А., Норкин О.Р. Алгоритм повышения производительности распределенных сетевых вычислений // Информатизация и связь. – 2011. – № 3. – С. 96-98. 3. Литвиненко В.А., Ховансков С.А. Решения задач путем организации распределенных вычислений в сети // Известия ЮФУ. Технические науки. – 2008. – № 3 (80). – С. 16-21. 4. Ховансков С.А., Норкин О.Р. Алгоритмическая оптимизация конфигурации системы децентрализованных вычислений // Телекоммуникации. – 2012. – № 11. – С. 2-5. 5. Ховансков С.А. Организация распределенных вычислений с иерархической структурой свя- зей // Информационное противодействие угрозам терроризма. – 2007. – № 9. – С. 170-178. 6. Литвиненко В.А., Ховансков С.А. Алгоритм оптимизации параметров компьютерной сети для уменьшения времени решения задачи на основе мультиагентной системы // Из- вестия ЮФУ. Технические науки. – 2007. – № 2 (77). – С. 186-190. 7. Ховансков С.А., Литвиненко В.А., Норкин О.Р. Организация распределенных вычисле- ний для решения задач трассировки // Известия ЮФУ. Технические науки. – 2010. – № 12 (113). – С. 48-55. 8. Калашников В.А., Трунов И.Л., Ховансков С.А. Параллельный алгоритм размещения на многопроцессорной вычислительной системе // Известия ЮФУ. Технические науки. – 1997. – № 3 (6). – С. 181-184. Статью рекомендовал к опубликованию д.т.н. С.Г. Капустян. Румянцев Константин Евгеньевич – Федеральное государственное автономное образова- тельное учреждение высшего профессионального образования «Южный федеральный уни- верситет»; e-mail: [email protected]; 347900, г. Таганрог, ул. Чехова, 2; тел.: 88634328725; кафедра ИБТКС; зав. кафедрой; д.т.н.; профессор, Ховансков Сергей Андреевич – e-mail: [email protected]; тел.: 88634642530; кафедра ИБТКС; к.т.н.; доцент. Хованскова Вера Сергеевна – e-mail: [email protected]; тел.: 88634676616; студентка. Rumyantsev Constantine Evgen’evich – Federal State-Owned Autonomy Educational Estab- lishment of Higher Vocational Education “Southern Federal University”; e-mail: [email protected]; 2, Chekhov street, Taganrog, 347900, Russia; phone: +78634328725; the department of IBTKS; head the department; dr. of eng. sc.; professor. Khovanskov Sergey Andreevich – e-mail: [email protected]; phone: 88634642530; the department of ISТCN; cand. of eng. sc.; associate professor. Khovanskovа Vera Sergeevna – e-mail: [email protected]; phone: +78634676616; student.

УДК 004.056

Е.Н. Ефимов, Г.М. Лапицкая ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ И БИЗНЕС-ПРОЦЕССЫ КОМПАНИИ

Цель исследования показать, что информационная безопасность должна создавать- ся и существовать в рамках достижения бизнес-целей компании. При этом бизнес- процессы являются первоисточником данных для организации информационной безопасно- сти компании. При разработке стратегии управления информационной безопасностью предложена комплексная диагностика состояния компании с помощью SWOT-анализа с условной коли- чественной оценкой результатов, полученной с помощью метода анализа иерархий.

253 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Идентификация рисков необходима для оценки значимости угроз и построения сис- темы безопасности. Анализ показал, что риски бизнес-процессов компании группируются в следующие категории: риски при проектировании, риски при реинжиниринге и риски в про- цессе использования бизнес-процессов. Автоматизировать процессы информационной безопасности компании целесообраз- но с помощью системы класса GRC (Governance, Risk management and Compliance), кото- рые сегодня рассматриваются как один из эффективных способов управления информаци- онными технологиями и информационной безопасностью. Систему GRC при этом целесо- образно комплексировать с системами класса Business Process Management, предназначен- ных для управления бизнес-процессами компании. Бизнес-цели; информационная безопасность; бизнес-процессы.

E.N. Efimov, G.M. Lapitskaya INFORMATION SECURITY AND BUSINESS PROCESSES OF THE COMPANY

The Purpose of the study to show that information safety must be created and exist within the framework of achievement business-integer to companies. At business-processes are a firsthand given for organization of information safety to companies. At development of the strategies of management information safety is offered complex diag- nostics of the condition to companies by means of SWOT-analysis with conditional quantitative estimation result, got by means of method of the analysis hierarchy. The Identification risk required for estimation of value of the threats and buildings of the system to safety. The Analysis has shown that risks business-processes to companies are grouped in the following categories: risks when designing, risks under reengineering and risks in process of the use business-processes. Automate the processes to safety to companies reasonable by means of systems of the class GRC (Governance, Risk management and Compliance), which are today considered as one of the efficient ways of management information technology and information safety. The Systems GRC herewith necessary complex with system of the class Business Process Management, intended for governing business-process to companies. Business-purposes; information safety; business-processes. Постановка проблемы. Информационная безопасность должна создаваться и существовать в рамках достижения бизнес-целей компаний. Эффективное ведение бизнеса невозможно без использования современных информационных техноло- гий (ИТ), которые используются для поддержки практически всех бизнес- процессов современной компании. Однако сегодня очевидна тенденция: информа- ционная безопасность из защиты конкретных сетей, серверов, информационных ресурсов, превращается в безопасность бизнес-процессов компаний, поддержи- ваемых ИТ. Это предполагает наличие двух взаимозависимых направлений обес- печения безопасности компании: с одной стороны – эффективная работа бизнеса в части функционирования бизнес-процессов; с другой – нормальное функциониро- вание поддерживающей ИТ-инфраструктуры. В настоящее время не сложилось единого подхода к информационной безопасности именно в данном контексте. Для понимания основных проблем безопасности компании целесообразно выполнить тщательный анализ внешней и внутренней среды бизнеса, выделить те компоненты, которые действительно имеют значение, провести сбор и отслежива- ние информации по каждому компоненту и на основе оценки реального положе- ния выяснить состояние компании и причины этого положения. Точная, ком- плексная, своевременная диагностика состояния компании – первый этап в разра- ботке стратегии управления безопасной деятельностью.

254

Раздел V. Прикладные вопросы информационной безопасности

Самый распространенный способ оценки стратегического положения компа- нии – SWOT-анализ1. Матрица SWOT-анализа может быть представлена в виде сле- дующей совокупности: SWOT = , где St (Strengths) – множество сильных сторон организации, St = (St1, St2, …, Stnst); W (Weaknesses) – множество слабых сторон организации, W = (W1, W2, …, Wnw); Op (Opportunities) – множество возможностей организации, Op = (Op1, Op2, …, Opnop); Th (Threats) – множество угроз организации, Th = (Th1, Th2, …, Thnth). При этом важно понимать, что сильные St = (St1, St2, …, Stnst) и слабые W = (W1, W2, …, Wnw) стороны – это те составные части деятельности компании, ко- торые она может контролировать, а возможности Op = (Op1, Op2, …, Opnop) и угрозы Th = (Th1, Th2, …, Thnth) – это те факторы, которые находятся вне контро- ля компании и могут повлиять на процесс ее развития [5]. Результаты SWOT-анализа позволяют сформулировать стратегию безопасно- сти компании на данном этапе развития. Эта задача вряд ли может быть формали- зована, однако на основе этих данных может быть разработано множество страте- гий организации S = (S1, S2, …, Sn). Для условной количественной оценки SWOT-матрицы возможно использо- вать, например, метод анализа иерархий (МАИ). Данный метод обеспечивает реа- лизацию наиболее эффективного способа оценки количественно неизмеримых, но вместе с тем важных, факторов для принятия обоснованных решений. Кроме того, метод работает с несогласованными суждениями и не требует, чтобы предпочте- ния потребителей или лица принимающего решение (ЛПР) соответствовали ак- сиомам полезности. МАИ позволяет сводить исследования сложных проблем к простой процедуре проведения последовательно парных сравнений [2]. В качестве примера рассматривались результаты SWOT-анализа действующего предприятия телекоммуникационной отрасли (ОАО «Телеком»), предоставляющего полный спектр услуг связи (проводная и беспроводная телефо- ния, доступ в сеть Интернет, услуги радиосвязи, информационные услуги) на тер- ритории города и области (в статье не приводится). Вариант последующей оценки SWOT-матрицы с помощью МАИ представлен в табл. 1. Таблица 1 Оценка SWOT-матрицы St W Op Th Вектор Нормализованный приоритетов вектор St 1 1 0,33 0,33 0,58 0,10 W 1 1 0,2 0,14 0,41 0,07 Op 3 5 1 0,2 1,32 0,24 Th 3 7 5 1 3,20 0,58 Индекс согласованности ИС = 0,14 и отношение согласованности ОС = 15,58 < 20 % показывают удовлетворительную согласованность оценок ЛПР. Значения нормализованного вектора лежат в пределах [0,1], поэтому резуль- таты экспертных расчетов могут трактоваться следующим образом: “угрозы” ор- ганизации значительны (Th = 0,58), “возможности” организации для решения про- блем удовлетворительны (Op = 0,24), “силы” организации для преодоления про- блем посредственны (St = 0,1), “слабости” организации незначительны (W = 0,07).

1 SWOT – это аббревиатура, включающая начальные буквы четырёх английских слов: strength («сила»), weakness («слабость»), opportunities («возможности»), и threats («угрозы»)

255 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Такой взгляд на проблему безопасности компании позволяет конкретизиро- вать ее цель и задачи, объекты и угрозы, выработать план мероприятий по сниже- нию рисков бизнес-процессов и произвести оценку эффективности проведенных мероприятий. В связи с определенной спецификой исследования информационной безопас- ности с точки зрения безопасности бизнес-процессов компании необходимо вна- чале выполнить идентификацию рисков бизнес-процессов. Целью идентификации рисков является оценка подверженности компании угрозам, которые могут нанес- ти существенный ущерб. Для сбора информации о рисках производится анализ бизнес-процессов компании и опрос экспертов предметной области. Результатом данного процесса является классифицированный перечень всех потенциальных рисков. Идентификация рисков бизнес-процессов. Бизнес-процесс можно предста- вить как преобразование: P (X, R, F, Z, G) → Y, где P — процесс, имеющий вид множества действий P = { D1, D2, ... , Dр}; X = { Х1, Х2,..., Хi} – входные потоки бизнес-процесса и их поставщики; Y = { Y1, Y2,..., Yj} – выходные потоки бизнес-процесса и их потребители; R = { R1, R2,..., Rk} – множе- ство ресурсов, используемых для выполнения бизнес-процесса (технические, ма- териальные, информационные); F = { F1, F2,..., Fn} – множество функций, реали- зуемых в бизнес-процессе; Z = { Z1, Z2,..., Zm} – множество участников и исполни- телей бизнес-процесса; G = { G1, G2,..., Gl} – границы и интерфейсы процесса. Из данного определения видно, что бизнес-процессы являются первоисточ- ником данных для организации информационной безопасности компании. Вначале необходимо определить объекты защиты, т.е. что и от каких угроз следует защищать. К объектам защиты, безусловно, относятся информация, биз- нес-процессы и материальные ресурсы компании. Очевидным началом работ по информационной безопасности сегодня при- знается классификации данных компании. Классификация — процесс сложный, требующий немало времени и средств. Для того, чтобы классификация была эф- фективной, ее необходимо постоянно поддерживать и актуализировать. Целесооб- разность классификации заключается в том, что она позволяет определить все мес- та хранения информации и выявить ту информацию, которую следует защищать. Это позволяет минимизировать количество конфиденциальной информации. При проведении классификации выявляются документы, бывшие когда-то секретными, но теперь уже потерявшие свою актуальность. Их можно отправить в архив или безвозвратно удалить. Информационные активы (ИА) как объекты защиты требуют поддержания целостности, доступности и, если требуется, конфиденциальности информации в бизнес-системах. Проведенный анализ возможных угроз показал, что информаци- онная инфраструктура должна обладать свойством защищенности информации, используемой в бизнес-процессах, т.е. обеспечивать защиту от несанкционирован- ного (преднамеренного или случайного) получения, изменения, уничтожения или использования коммерческой, служебной или технологической информации. С учетом наличия компонентов бизнес-процесса, а также их взаимосвязей, к по- тенциально опасным ситуациям относятся: несанкционированный доступ наруши- телей (не владельцев и участников процессов) к информации, хранящейся и обра- батываемой в средствах автоматизации, с целью ознакомления, искажения или уничтожения. При этом, точками входа могут быть интерфейсы и границы процес- са, а также информация, необходимая для реализации функций (операций, проце- дур) процесса; перехват информации при ее приеме (передаче) по каналам связи

256

Раздел V. Прикладные вопросы информационной безопасности

(сети) функциями процесса, а также за счет хищения носителей информации; уничтожение (изменение, искажение) информации за счет случайных помех, сбоев технических (программных) средств при передаче, хранении и обработке инфор- мации; несанкционированное влияние на бизнес-процесс нарушителей из числа владельцев и (или) участников процесса [3]. Анализ предметной области показал, что целесообразно идентифицировать риски бизнес-процессов компании на всех основных стадиях их жизненного цик- ла: на этапах проектирования, реинжиниринга и в процессе использования бизнес- процессов. Идентификация рисков при проектировании и реинжиниринге бизнес- процессов. Даже первоначальное описание основных бизнес-процессов компании приносит как ощутимые результаты повышения эффективности работы, так и воз- можные потери (риски). Это, прежде всего, риски из-за ошибок при проектирова- нии процессов: ошибки незавершенности (наличие пробелов в описании процес- са); ошибки несоответствия (неадекватного использования информационных ре- сурсов в различных частях процесса, что приводит к искаженному восприятию информации или к неясности указаний); ошибки иерархической или «наследст- венной» несовместимости (наличие конфликта между основными и последующи- ми процессами). Очевидно, следует допустить и наличие иных видов ошибок. Следующий ряд рисков возникает из-за ошибок в методологии описания процессов (или парадигмы «методология — модель — нотация — средства»): при отображении функций системы; процессов, обеспечивающих выполнение функ- ций; данных и организационных структур, обеспечивающих выполнение функций; материальных и информационных потоков в ходе выполнения функций. Далее следует отметить риски, возникающие из-за несоответствия топологии процесса, не позволяющие добиться максимально понятного течения процесса, отражающего при этом либо реальное положение вещей, либо оптимальное с уче- том загрузки исполнителей, доступности ресурсов или других обстоятельств. Ана- лиз ошибок топологии процесса может проводиться в несколько итераций. В ре- зультате анализируемый процесс может кардинально измениться. Например, функции, которые раньше выполнялись последовательно друг за другом, будут выполняться параллельно. Безусловно, что при этом не должна исказиться логика процесса и получаемый результат. Идентификация рисков при использовании бизнес-процессов. Операционный риск можно определить как риск прямых или косвенных убытков в результате не- верного исполнения бизнес-процессов, неэффективности процедур внутреннего контроля, технологических сбоев, несанкционированных действий персонала или внешнего воздействия. Операционный риск критичен для процессов, характери- зующихся значимостью для деятельности организации в целом, большим числом транзакций в единицу времени, сложной системой технической поддержки. Выде- ляемые обычно риск-факторы аналогичны показателям состояния внутренней опе- рационной среды и бизнес-процессов – объем операций, оборот, процент ошибоч- ных действий. Управление операционными рисками осуществляется построением прозрачных и управляемых бизнес-процессов, правильной организационной структурой с опорой на экспертное знание [1]. Для решения задач устранения операционных рисков бизнес-процессов мо- жет быть использована система lean production (бережливое производство) – кон- цепция менеджмента, созданная на основе производственной системы Toyota. Цель lean – идентифицировать, проанализировать и устранить потери в производ- ственных процессах [4]. В соответствии с концепцией lean в бизнес-процессах возникает восемь видов потерь: неиспользование потенциала сотрудников; потери

257 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

от перепроизводства; потери на транспортировку; потери от брака, излишних от- ходов и переделок; потери на обслуживание запасов; потери на перемещениях и движениях персонала; потери от простоев; потери из-за чрезмерной обработки. Потери в этом случае рассматриваются как операции, на которые затрачиваются временные и материальные ресурсы, без добавления ценности товару или услуге для конечного потребителя. Так, к примеру, необходима защита от противоправных действий персонала, выполняющего бизнес-процессы, несанкционированного воздействия на постав- щиков, объемы и сроки поставки ресурсов; регламент выполнения бизнес- процессов, в т.ч. регламент внутренних и внешних интерфейсов; технологию вы- полнения бизнес-процессов и прочее. Описание бизнес-процессов, их моделирование, последующий контроль и анализ выполнения – постоянная и последовательная деятельность по устранению операционных рисков, а следовательно и потерь. Автоматизировать процессы информационной безопасности компании мож- но с помощью систем класса GRC (Governance, Risk management and Compliance), которые рассматриваются сегодня как один из эффективных способов управления информационными технологиями и информационной безопасностью. GRC это взгляд на управление чем-либо с трёх точек зрения: высшего руко- водства (Governance), управления рисками (Risk management) и соответствия тре- бованиям (Compliance). Результатом обработки информации о деятельности всех подразделений компании становятся наглядные отчеты, сформулированные в тер- минах бизнеса.2 Например, модуль Enterprise Management продукта RSA Archer eGRC позво- ляет выполнить инвентаризацию и классификацию активов компании, создать единый реестр взаимоувязанных между собой активов, включая информационные и технологические активы, бизнес-процессы, товары и услуги, подразделения и отдельные бизнес-единицы, производственные помещения и оборудование, кон- такты с ответственными работниками компании, партнерами и поставщиками. Для каждого актива определяется его владелец и ценность для компании. Результаты данной работы могут использоваться при дальнейшем проведении процедуры оценки рисков информационной безопасности. Интеграция с системами управле- ния уязвимостями SIEM или DLP позволяет установить приоритет устранения уяз-

вимостей и нейтрализации инцидентов в отношении каждого конкретного актива. 3 Однако реализовать все функции GRC в контексте безопасности бизнес- процессов с помощью одного, пусть даже хорошего, ИТ−решения практически невозможно. Система, которая может помочь в решении задач этой концепции, должна быть такая же комплексная, как и сами задачи GRC.4 Для комплексирова- ния с GRC-системой целесообразно использовать системы класса Business Process Management (ВРМ), Business Performance Management и Business Intelligence, пред- назначенные для автоматизации и управления бизнес-процессами. Диаграмма взаимосвязи бизнес-процессов и основных субъектов информационной безопасно- сти компании в нотации UML приведена на рис. 1.

2 Евгений Безгодов Что такое GRC и чем это может быть полезно для информационной безопасности? [Электронный ресурс] http://ru.deiteriy.com/what_is_grc_and_its_ usabil- ity_in_information_security/. 3 GRC – путь к оптимизации процессов управления ИБ //Банковское обозрение №9 (176) Сентябрь 2013 [электронный ресурс] http://www.bosfera.ru/bo/put-k-optimizatsii-protsessov 4 Концепция GRC стала очередным этапом развития рынка ИБ [Электронный ресурс] http://www.cnews.ru/reviews/free/security2008/articles/grc.shtml.

258

Раздел V. Прикладные вопросы информационной безопасности

Рис. 1. Взаимосвязь бизнес-процессов и основных субъектов информационной безопасности компании

Взаимодействие бизнес-процессов компании и среды, создающей угрозы, прежде всего для бизнес-процессов, в рамках системы информационной безопас- ности приведено на диаграмме ниже (рис. 2).

Рис. 2. Взаимодействие бизнес-процессов и среды, создающей угрозы

Основные выводы. Комплексная диагностика состояния компании – первый этап в разработке стратегии управления информационной безопасностью, которую лучше всего вы- полнить с помощью SWOT-анализа с предлагаемой условной количественной оценкой.

259 Известия ЮФУ. Технические науки Izvestiya SFedU. Engineering Sciences

Анализ показал, что бизнес-процессы являются первоисточником данных для организации информационной безопасности компании. Обеспечение информационной безопасности бизнес-процессов следует начи- нать с разработки классификации данных, которая позволяет выявить информа- цию для защиты, минимизировать количество конфиденциальной информации, определить все места хранения информации, что может быть использовано для оптимизации бизнес-процессов в компании. Анализ возможных рисков бизнес-процессов позволил установить следую- щие группы: риски при проектировании, реинжиниринге и в процессе использова- ния бизнес-процессов. Автоматизировать процессы информационной безопасности компании целе- сообразно с помощью системы класса GRC (Governance, Risk management and Compliance), которая должна комплексироваться с системами класса Business Pro- cess Management, Business Performance Management или Business Intelligence, пред- назначенные для автоматизации и управления бизнес-процессами.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК 1. Каменнова М.С., Громов А.И., Ферапонтов М.М., Шматалюк А.Е. Моделирование биз- неса. Методология ARIS. – М.: Весть-МетаТехнология, 2001. 2. Саати Т. Принятие решений. Метод анализа иерархий. – М.: Радио и связь, 1993. 3. Стельмашонок Е.В. Организация информационной защиты–бизнес-процессов // При- кладная информатика. – 2006. – № 2. – C. 42-57. 4. Тимохин А. Как найти все потери: практика применения методологии lean в НПО «ЭЛСИБ» // "БОСС" № 9, 2012. 5. Ханова А.А. Структурно-функциональная модель сбалансированной системы показате- лей при принятии управленческих решений // Вестник АГТУ Сер.: Управление, вычис- лительная техника и информатика. – 2012. – № 1. – C. 200-208. Статью рекомендовал к опубликованию к.т.н. А.П. Лапсарь. Ефимов Евгений Николаевич – Ростовский государственный экономический университет (РИНХ); e-mail: [email protected]; 344002, г. Ростов-на-Дону, Б. Садовая, 69, комн. 306 а; тел.: 89525721917; кафедра информационных технологий и защиты информации; д.э.н.; профессор. Лапицкая Галина Мелконовна – e-mail: [email protected]; тел.: 89286050143; кафедра информационных технологий и защиты информации; к.э.н.; профессор. Efimov Evgeniy Nikolayevich – Rostov State Economic University; e-mail: [email protected]; 69, B. Sadovaya street, room 306 a, Rostov-on-Don, 344002, Russia; phone: +79525721917; the department information technologies and information security; dr.ec. sc.; professor. Lapickaya Galina Melkovna – e-mail: [email protected]; phone: +79286050143; the department information technologies and information security; cand.ec. sc.; professor.

260

Правила оформления рукописей

ПРАВИЛА ОФОРМЛЕНИЯ РУКОПИСЕЙ

1. Объем статьи должен быть не менее 10 и не более 18 страниц. Текст наби- рается в соответствии с правилами компьютерного набора с одной стороны белого листа бумаги стандартного формата (А 4). На странице должно быть не более 28 строк, 60 знаков в каждой строке, отпечатанных через 1,5 интервала (это отно- сится к таблицам и примечаниям). Авторы представляют в редакцию 1 экз. статьи и идентичный электронный вариант. Редактор Word 7 for Windows, шрифт Times New Roman, размер 14. Поля: правое – 1 см, левое – 3 см, верхнее и нижнее – 2 см. 2. Названию статьи предшествует индекс УДК, соответствующий заявленной теме. 3. Текст статьи начинается с названия статьи и фамилии, имени и отчества ав- тора (полностью) и снабжается аннотацией на русском и английском языках объё- мом не менее 120-180 слов. В тексте аннотации указывается цель, задачи исследова- ния и краткие выводы. После названия статьи приводятся ключевые слова (словосо- четания), несущие в тексте основную смысловую нагрузку (на русском и англий- ском языках). 4. В тексте статьи следует использовать минимальное количество таблиц и иллюстраций. Рисунок должен иметь объяснения значений всех компонентов, по- рядковый номер, название, расположенное под рисунком. В тексте на рисунок да- ется ссылка. Таблица должна иметь порядковый номер, заголовок, расположенный над ней. Данные таблиц и рисунков не должны дублировать текст. 5. Цитаты тщательно сверяются с первоисточником и визируются автором на обратной стороне последней страницы: "Цитаты и фактический материал свере- ны". Подпись, дата. 6. Наличие пристатейного библиографического списка обязательно. В тексте должны быть ссылки в квадратных скобках. Примеры оформления литературы: а) для книг: фамилия, инициалы авто- ра(ов), полное название книги, место, год издания, страницы; б) для статей: фами- лия и инициалы автора(ов), полное название сборника, книги, газеты, журнала, где опубликована статья, место и год издания (сборника, книги), номер (для журнала), год и дата (для газеты), выпуск, часть (для сборника), страницы, на которых опуб- ликована статья. Иностранная литература оформляется по тем же правилам. Ссылки на неопубликованные работы не допускаются. 7. Рукопись должна быть тщательно вычитана. Редакционная коллегия остав- ляет за собой право при необходимости сокращать статьи, редактировать и отсы- лать авторам на доработку. 8. Статьи сопровождаются сведениями об авторе(ах) (фамилия, имя, отчест- во, ученое звание, должность, место работы, адрес, электронный адрес и номер телефона) на русском и английском языках. 9. Плата c аспирантов за публикацию рукописей не взымается.

Адрес журнала в Интернете: http://izv-tn.tti.sfedu.ru/.

261