Размещено на http://www.allbest.ru/

Министерство образования и науки Российской Федерации

Федеральное государственное бюджетное образовательное

Учреждение высшего профессионального образования

"Воронежский государственный технический университет"

(ФГБОУ ВПО "ВГТУ")

Информационных технологий и компьютерной безопасности

(факультет)

Кафедра систем информационной безопасности

Специальность 090105 "Комплексное обеспечение информационной безопасности автоматизированных систем"

ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА

На тему:

Игровые риск-модели защиты автоматизированной информационной системы (ИС) с помощью ложной ИС по различным игровым сценариям

Разработал А.П. Красноперов

Руководитель В.Л. Каркоцкий

Воронеж 2015

Задание на выпускную квалификационную работу

1. Тема дипломной работы Игровые риск-модели защиты АИС с помощью ЛИС по различным игровым сценариям утверждается распоряжением по факультету № от г.

2. Технические условия не накладываются

3. Содержание (разделы, графические работы, расчеты и проч.): введение; принципы функционирования ложных информационных систем; риск-моделирование защиты автоматизированной информационной системы посредством ложной информационной системы; управление эффективностью работы ложной информационной системы; организационно-экономическая часть; безопасность и экологичность; заключение.

4. План выполнения дипломной работы с "___" ______ 2015 г. по "___" ______ 2015 г.

Название элементов проектной работы	%	Сроки	% выполнения	Подпись руководителя, консультанта
Введение
Глава 1
Глава 2
Глава 3
Организационно-экономическая часть
Безопасность и экологичность

Реферат

Пояснительная записка содержит 128 с., 18 рисунков, 13 таблиц, 103 источника.

Ключевые слова: автоматизированная информационная система, ложная информационная система, игровые риск-модели, теория игр.

Объектом исследования дипломной работы является ложная информационная система, реализующая защиту автоматизированной информационной системы с использованием математического аппарата теории игр.

Предметом исследования дипломной работы является оценка эффективности работы ложной информационной системы с учетом игровых риск-моделей.

Цель дипломной работы заключается в разработке и формализация методик оценки рисков и управления эффективностью ложной информационной системы с учетом использования теоретико-игрового подхода.

В исследовании предполагается использовать методы теории игр, методы теории вероятности, методы математической статистики и статистического анализа, методы теории графов, методы аналитического моделирования, методы теории рисков.

Полученные результаты и их новизна:

1 отличительной особенностью работы является изучение безопасности АИС с использованием теоретико-игрового подхода при принятии решений ЛИС;

2 в отличие от аналогичных работ, полученная риск-модель АИС, в отношении которой реализуются атаки, учитывает различные игровые модели и вероятностный подход к принятию решений;

3 в данной работе получены функции эффективности работы ЛИС по различным риск-моделям, предложен подход к управлению эффективностью работы ЛИС, основанный на оптимизации производительности, выделяемой для создания эмулированных объектов.

Практическая ценность работы заключается в том, что:

1 анализ основных видов удаленных атак, воздействующих на компоненты АИС, позволяет выявить требования к увеличению эффективности, предъявляемые к разрабатываемым ЛИС;

2 построенная риск-модель АИС отражает этапы реализации защиты ЛИС и различные игровые сценарии, а так же позволяет всесторонне оценивать процесс реализации защиты;

3 полученные выражения эффективности работы ЛИС на базе разработанных моделей реализации атаки позволяют не только оценить эффективность защиты, но и оптимизировать затраты на защиту АИС.

Содержание

• Задание на выпускную квалификационную работу
• Реферат
• Введение
• 1. Принципы функционирования ложных информационных систем
• 1.1 Причины использования ложных информационных систем
• 1.2 Классификация ложных информационных систем
• 1.3 Архитектура современных ложных информационных систем
• 1.4 Применение теории игр для решения проблем, связанных с созданием ложных информационных систем
• 1.5 Требования, предъявляемые к современным ложным информационным системам
• 1.7 Постановка задач исследования
• 2. Риск-моделирование защиты автоматизированной информационной системы посредством ложной информационной системы
• 2.1 Принципы риск-моделирования защиты автоматизированной информационной системы посредством ложной информационной системы
• 2.2 Моделирование защитных действий ложной информационной системы на этапе анализа вредоносных воздействий злоумышленника
• 2.3 Моделирование защитных действий ложной информационной системы на этапе эмуляции объектов
• 2.4 Игровые сценарии взаимодействия ложной информационной системы и злоумышленника
• 2.4.1 Разработка чистых стратегии ложной информационной системы и злоумышленника
• 2.4.2 Принятие решения ложной информационной системой в условиях неопределенности
• 2.4.3 Принятие решения ложной информационной системой в условиях риска
• 2.4.4 Принятие решения ложной информационной системы в условиях дуэли
• 2.4.5 Вероятностный подход к принятию стратегии в условиях реализации атаки с учетом защиты ложной информационной систем
• 2.5 Выводы по второй главе
• 3. Управление эффективностью работы ложной информационной системы
• 3.1 Управление эффективностью работы ложной информационной системы c учетом оптимизации расходуемых ресурсов
• 3.2 Оптимизация ресурсов, расходуемых ЛИС в процессе работы
• 3.3 Выводы по третьей главе
• 4. Организационно-экономическая часть
• 4.1 Формирование этапов и перечня работ по оценке рисков и анализа эффективности работы ложной информационной системы по различным игровым сценариям
• 4.2 Определение трудоемкости исследования по оценке рисков и анализа эффективности работы ложной информационной системы по различным игровым сценариям
• 4.3 Разработка календарного плана проведения исследования по оценке рисков и анализа эффективности работы ложной информационной системы по различным игровым сценариям
• 4.4 Расчет сметной стоимости и договорной цены исследования по оценке рисков и анализа эффективности работы ложной информационной системы по различным игровым сценариям
• 4.5 Прогнозирование ожидаемого экономического эффекта от использования результатов исследования по оценке рисков и анализа эффективности работы ложной информационной системы по различным игровым сценариям
• 4.6 Пример расчёта экономического ущерба вследствие реализации атак с учетом работы ложной информационной системы по различным игровым сценариям
• 4.7 Выводы по четвертой главе
• 5. Безопасность и экологичность
• 5.5 Безопасность производственной среды
• 5.5.1 Анализ вредных и опасных факторов при работе с персональным компьютером
• 5.1.2 Анализ влияния уровня освещённости
• 5.1.3 Воздействие электрического тока
• 5.1.4 Меры защиты
• 5.2 Расчет параметров вентиляции рабочей зоны
• 5.3 Чрезвычайные ситуации
• 5.4 Требования по пожарной безопасности
• 5.5 Экологичность проекта
• Заключение
• Список литературы

Введение

Основной тенденцией в современном мире сегодня является переключение государств на инновационный путь развития. Этот путь подразумевает активное внедрение и широкое применение новейших и прогрессивных информационных технологий в следующих областях деятельности государств: экономике, финансах, промышленности, энергетики, национальной безопасности, транспорта, науки, здравоохранения, образования и многих других [35-37].

Однако повсеместное и свободное использование информационных технологий не представляется возможным без решения проблем собственной безопасности самих технологий. Это решение выражается не только в использовании и развитии традиционных методов и средств защиты информации, но и в образовании новых нестандартных подходов к обеспечению безопасности информационных ресурсов и систем. Примером такого подхода может служить систематическое поэтапное внедрение методов активной защиты, которые включают в себя методы дезинформации потенциального нарушителя, введения его в заблуждение. Частым случаем такого подхода является метод, при котором истинные информационные объекты, находящиеся в системе, защищают путем создания ложных информационных объектов, которые отвлекают на себя нарушителя. Метод дезинформирования потенциального нарушителя не является чем-то новым - он широко применяется военными при проведении специальных мероприятий. Смысл такого подхода достаточно прост: чем лучше реальные объекты замаскированы, тем меньше вероятность нанесения им ущерба. На данный момент данная тема широко изучается в зарубежных странах. В свете последних событий, происходящих в мире, метод введения в заблуждение потенциального противника приобретает всё большую актуальность и в Российской Федерации: Указ Президента №31с от 15 января 2013 года обязывает создать государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации [3].

В ИС всегда присутствует вероятность наличия неизвестных уязвимостей, а также уязвимостей в программном обеспечении самих средств защиты. В такой ситуации традиционные подходы к защите информации не могут обеспечить нужный уровень защиты информации при приемлемых финансовых затратах. Поэтому сегодня всё более актуальным становится применение ложных информационных систем (ЛИС), реализующих стратегию обмана. Целесообразность использования ЛИС в целях защиты информации отмечается в нормативном правовом акте ФСТЭК России приказе №17 от 11 февраля 2013 года "Требования по защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах". Реализуя защиту информационной системы с помощью ЛИС, тем самым отвлекая нарушителя на ложный информационный ресурс, можно не только защитить информационную систему, но и найти уязвимости этой системы, которые ранее были неизвестны [102].

ЛИС - это программно-аппаратные средства защиты информации, которые реализуют функцию сокрытия защищаемых информационных систем, а также дезинформируют потенциальных нарушителей. Сбор и фиксация данных о совершенных атаках на ИС, межсетевое экранирование, системы обнаружения вторжений и дезинформация потенциальных нарушителей - с их помощью ЛИС позволяют в реальном масштабе времени выявлять совершаемые атаки, направлять их на ложные объекты, исследовать действия нарушителей и определять их намерения, а также выявлять неизвестные ранее уязвимости ИС [2, 28].

Развитию практики применения ЛИС для защиты информационных систем способствует всё более активное внедрение технологий виртуализации, появление программных средств виртуализации, которые дают возможность сгенерировать виртуальную инфраструктуру и управлять ею. Перед использованием ЛИС необходимо рассчитать, насколько эффективно можно с её помощью ввести в заблуждение нарушителя и при этом не создать высокой дополнительной вычислительной нагрузки для функционирования защищаемой информационной системы, так как при использовании технологий виртуализации ЛИС будет потреблять вычислительный ресурс истинной информационной системы. Однако при использовании ложной информационной системы следует помнить о том, что чем больше ложных объектов создается, тем меньше вероятность нападения на реальный элемент информационной системы. Единственный недостаток данного подхода заключается в следующем: чем больше ложных объектов в системе, тем больше требуется ресурсов для ее создания. Также требуется квалифицированный и обученный персонал для обслуживания ЛИС [2, 28].

Следует отметить, что при применении такого подхода для защиты информации необходимы обязательный учет максимального числа возможных стратегий вероятного нарушителя, собственных стратегий стороны, защищающей информационную систему, а также точное понимание возникающих угроз и рисков при реализации каждой стратегии. То есть защищающая сторона должна принимать эффективные решения в условиях конфликтного взаимодействия с вероятным нарушителем. В то же время очевидно, что достижение заданной эффективности при принятии решений без обращения к конкретному математическому аппарату вызовет серьезные затруднения. Так как имеется изначальный конфликтный характер взаимодействия защищающей стороны и нарушителя, то целесообразно рассмотреть возможность использования аппарата теории игр [35].

Игра между защищающей стороной и нарушителем является игрой с неполной информацией, так как ни одной из сторон заранее неизвестен следующий ход другой стороны. Это является первой проблемой при использовании аппарата теории игр. Чтобы система защиты была эффективна, следует рассмотреть несколько игровых сценариев, по которым может идти игра между двумя сторонами, а именно: дуэль, игру с природой, задачу о садовнике [12].

Актуальность темы. В силу того, что поведение злоумышленника при реализации атаки в автоматизированной информационной системе редко имеет детерминированный характер, использование математического аппарата теории игр при принятии решений ложной информационной системой по стратегии защиты имеет огромную область исследования. Применимость теории игр в рамках работы ложной информационной системы мало исследована как в отечественных, так и зарубежных источниках. В связи с этим работа по оценке эффективности разрабатываемых ложных информационных систем, использующих теорию игр при принятии стратегий защиты, является актуальной.

Объектом исследования дипломной работы является ложная информационная система, реализующая защиту автоматизированной информационной системы с использованием математического аппарата теории игр.

Предметом исследования дипломной работы является оценка эффективности работы ложной информационной системы с учетом игровых риск-моделей.

Цель дипломной работы заключается в разработке и формализация методик оценки рисков и управления эффективностью ложной информационной системы с учетом использования теоретико-игрового подхода. Для реализации данной цели необходимо решить приведенные ниже задачи:

1 провести исследование ЛИС с учетом оценки сценариев поведения злоумышленника;

2 сформулировать принципы риск-моделирования защиты автоматизированной информационной системы посредством ложной информационной системы

ложная информационная система защита

3 разработать математические модели атак, учитывающие этапность протекания процесса выбора стратегий защиты ложной информационной системы в рамках игровых риск-моделей;

4 разработать игровые сценарии взаимодействия ложной информационной системы и злоумышленника как в условиях неопределенности, так и в условиях риска;

5 провести оценку функции ущерба и рисков реализации атак в рамках применения различных игровых моделей взаимодействия ЛИС и злоумышленника;

6 разработать новый подход к управлению эффективностью ЛИС, основанный на оптимизации производительности, выделяемой для создания эмулированных объектов;

7 разработать алгоритм управления эффективностью ЛИС.

Степень обоснованности научных положений, выводов и рекомендаций, сформулированных в дипломной работе, обеспечивается корректным использованием математических методов в приложении обозначенному предмету исследования.

В исследовании предполагается использовать методы теории игр, методы теории вероятности, методы математической статистики и статистического анализа, методы теории графов, методы аналитического моделирования, методы теории рисков [16, 33, 34, 42].

Научная новизна исследования.

В настоящей работе получены следующие основные результаты, характеризующиеся научной новизной:

1 отличительной особенностью работы является изучение безопасности АИС с использованием теоретико-игрового подхода при принятии решений ЛИС;

2 в отличие от аналогичных работ, полученная риск-модель АИС, в отношении которой реализуются атаки, отличающаяся от известных введением учета различных игровых моделей и вероятностного подхода к принятию решений.

3 в данной работе получены функции эффективности работы ЛИС по различным риск-моделям, предложен уникальный подход к управлению эффективностью работы ЛИС, основанный на оптимизации производительности, выделяемой для создания эмулированных объектов. Разработанный алгоритм оптимизации позволяет перейти от качественных к количественным процедурам анализа эффективности и характеристик ЛИС.

Практическая ценность работы заключается в том, что:

1 анализ основных видов удаленных атак, воздействующих на компоненты АИС, позволяет выявить требования к увеличению эффективности, предъявляемые к разрабатываемым ЛИС;

2 построенная риск-модель АИС отражает этапы реализации защиты ЛИС и различные игровые сценарии, а так же позволяет всесторонне оценивать процесс реализации защиты. Вариативность сценариев выбора стратегий злоумышленника и ЛИС позволяет имитировать разнообразные варианты построения и функционирования ЛИС и, тем самым, оценивать эффективности работы ЛИС в составе различных АИС;

1 полученные выражения эффективности работы ЛИС на базе разработанных моделей реализации атаки позволяют не только оценить эффективность защиты, но и оптимизировать затраты на защиту АИС применительно к конкретным ЛИС.

1. Принципы функционирования ложных информационных систем

1.1 Причины использования ложных информационных систем

Главной целью защиты любой конфиденциальной информации является предотвращение ознакомления с нею нарушителей, не имеющих на это соответствующего разрешения [59].

Одним из эффективных способов противодействия компьютерным атакам на информационные системы является применение ложных информационных систем в системе защиты информации. Чтобы понять преимуществ ЛИС и причины их использования, рассмотрим этапы реализации атаки на информационную систему и механизмы защиты информации, которые должны выполняться на каждом этапе осуществления атаки. Эти механизмы защиты информации и фазы жизненного цикла представлены на рисунке 1.1 Основными этапами любого инцидента безопасности можно назвать: предупреждение угрозы безопасности, реализация угрозы и возникновение инцидента, нанесение ущерба и восстановление ресурсов защищаемой системы после нанесения ущерба [33, 38, 44].

Размещено на http://www.allbest.ru/

Рисунок 1.1 - Цикл инцидента безопасности

Угроза - это потенциальная или действительно существующая опасность совершения какого-либо вредоносного акта, направленного на информационный ресурс объекта защиты, стремящегося причинить ущерб собственнику, владельцу или пользователю, выражающаяся в искажении и потере информации.

Угрозы можно классифицировать на преднамеренные, отражающие следствия умышленных действий нарушителей, и непреднамеренные, то есть вызванные неверными действиями сотрудников, сбоями и отказами в функционировании технических и программных средств или стихийными бедствиями [61, 103].

Реализация одной или нескольких преднамеренных угроз представляет собой атаку. При этом атака является попыткой преодоления защиты автоматизированной информационной системы, степень успеха которой зависит от уязвимости системы и эффективности защитных мер [26,27,49].

Основными видами угроз являются угрозы конфиденциальности, целостности и доступности. Угрозы конфиденциальности нацелены на разглашение информации, то есть в результате реализации этих угроз лицо, которое не должно иметь доступа к данным сведениям, становится их обладателем. Это явление называется несанкционированным доступом (НСД), под которым понимается доступ к информации, нарушающий установленные правила разграничения доступа. Угрозы целостности - это искажение или изменение информации, располагающейся в вычислительной системе или передаваемой по каналам связи, лицом, не имеющим полномочий для данных операций. Целостность информации подвергается нарушениям как со стороны нарушителя, так и вследствие неумышленных реакций, исходящих от среды эксплуатации системы. Угрозы нарушения доступности (отказа в обслуживании) ориентированы на формирование таких ситуаций, когда в итоге преднамеренных или непреднамеренных действий уменьшается работоспособность вычислительной системы, или ее ресурсы становятся совершенно недоступными.

Можно выделить следующие группы механизмов защиты информации, реализация которых вполне допустима на различных фазах жизненного цикла инцидента безопасности [10, 36, 37]:

- предупреждение;

- введение в заблуждение (обман) нарушителя;

- обнаружение;

- реагирование;

- нейтрализация и устранение последствий;

- оценка инцидента и принятых мер.

Механизмы введения в заблуждение (обмана) нарушителей - это специализированный вид механизмов защиты, определенных для принуждения нарушителей принимать ложную информацию в качестве истиной (защищаемой) информации. Иными словами, происходит навязывание ложной информации взамен реально существующей для того, чтобы уменьшить возможности реализации угроз (вторжения), упрощения обнаружения атак, замедления действий, направленных на реализацию различного вида угроз, и исследования намерений, стратегий и средств нарушителей. Следует отметить важность механизмов введения в заблуждение (обмана) нарушителей. Этому типу механизмов защиты уделялось недостаточное внимание, однако его реализация позволит существенно повысить эффективность защитных мер против внешних и внутренних вторжений, так как с помощью него можно избежать атаки на реальный объект, тем самым не понести никакого ущерба [44].

ЛИС - это комплекс программно-аппаратных средств, который имитирует процесс функционирования информационной системы, но никаких полезных вычислений не выполняет. Основная цель создания ЛИС - это маскировка реальных объектов ИС, их взаимосвязей и отвлечение нарушителя на ложные объекты [36, 37].

Как правило, причинами использования ЛИС являются [10, 33, 42, 44, 46]:

1 увеличение числа выполняемых нарушителем операций и действий. Нарушитель вынужден совершать множество дополнительных действий для того, чтобы обнаружить наличие обмана - отсутствие реальной уязвимости;

2 получение возможности отследить нарушителя. За время, потраченное нарушителем на проверку всех обнаруженных уязвимостей, в том числе и ложных, администратор безопасности сможет установить факт внутреннего нарушения или осуществить сбор информации о внешнем нарушители и предпринять соответствующие меры;

3 возможность неполучения ущерба со стороны нарушителя. Если ложные объекты не отличимы от реальных, то нарушитель, совершив атаку, может и не понять, что атаковал ложный объект информационной системы, а не реальный.

1.2 Классификация ложных информационных систем

ЛИС применяются для реализации следующих целей системы защиты информации [5, 42, 61]:

- сокращение числа атак на целевые (особенно важные) системы посредством отвлечения нарушителя от реальных объектов системы и принятия атаки на себя (итогом чего является снижение продуктивности атак, в том числе увеличение времени их осуществления или полная их остановка);

- незаметное выявление и изучение атак и неавторизованной активности (количество расходов падает вследствие уменьшения ложных срабатываний, потому что любой трафик, фиксируемый при помощи ложных информационных систем, с большой вероятностью заключает в себе все планируемые операции нарушителя);

- мониторинг инцидентов несанкционированного доступа к системе и ее эксплуатации не по предписанию;

- фиксирование актов неправомерных действий, что способствует дальнейшему приведению нарушителя в состояние обмана.

Известные классификации определяют следующие классификационные признаки для ЛИС [34]:

- по назначению;

- по уровню противодействия нарушителю;

- по способу получения информации о действиях нарушителя;

- по уровню сложности установки и настройки;

- по уровню сложности процесса использования и поддержки;

- по уровню имитации;

- по уровню риска.

Однако эти классификации не учитывают следующие свойства ложных систем:

- изменчивости состава и структуры ЛИС в процессе ее работы;

- возможности имитировать работу пользователей компьютерной сети.

В связи с этим предложена классификационная схема, приведенная на рисунке 1.2 Классификация ЛИС проведена по шести основным характеристикам [5,45]:

1 назначению ЛИС;

2 способу построения ЛИС;

3 типу имитируемого объекта;

4 типу структуры ЛИС;

5 уровню интеграции в целевую ИС;

6 уровню корреляции состава и структуры ЛИС с составом и структурой целевой ИС.

Рисунок 1.2 - Классификационная схема ложных информационных систем

По способу построения ЛИС разделены на реальные и виртуальные. В реальных ЛИС отсутствуют компоненты, имитирующие поведение аппаратного обеспечения. В отличие от реальных ЛИС, виртуальные содержат такие компоненты [45, 61].

Тип имитируемого объекта задаёт функциональные возможности ЛИС, а также определяет уровень взаимодействия со средствами защиты от НСД. Уровень взаимодействия ЛИС со средствами защиты от НСД определяет, какие возможности предоставляет ЛИС средству защиты от НСД по реализации компьютерной атаки. Чем больше возможностей предоставляется средствам защиты от НСД, тем больше информации можно собрать об их действиях и тем больше объем работ по установке и поддержке системы и выше риск ее компрометации. По типу имитируемого объекта ЛИС разделены на [61,84]:

- генерирующий сетевой трафик;

- сетевые службы;

- узлы вычислительной сети;

- вычислительные сети;

- АС.

ЛИС, генерирующие сетевой трафик, обладают самым минимальным набором функций, имитирующих только наличие определённых сетевых служб целевой АС. Данные ЛИС не способны отвечать на сетевые запросы средств НСД [88].

ЛИС, имитирующие работу сетевых служб, должны обеспечивать корректную работу сетевых протоколов, по которым работают соответствующие сетевые службы. Взаимодействуя с такой ЛИС, с помощью средства НСД возможно получать только корректные ответы на сетевые запросы, но нельзя внедрить вредоносный код, используя уязвимости сетевых служб [61, 84, 88].

ЛИС, имитирующие работу узлов вычислительной сети, реализуют все функции, характерные для ЭВМ или активного сетевого оборудования вычислительной сети. Взаимодействуя с такой ЛИС, с помощью средства НСД возможно внедрить вредоносный код, используя уязвимости программного обеспечения ложного узла. ЛИС, имитирующие работу вычислительной сети, дополнительно включают функции по организации взаимодействия между имитируемыми узлами. ЛИС, имитирующие работу АС, дополнительно включают функции по имитации работы пользователей АС [10, 37].

В зависимости от типа структуры выделены статические, динамические и самоорганизующиеся ЛИС. Статические ЛИС сохраняют свою топологию и состав ПО в изначально заданном состоянии. В динамических ЛИС их структура изменяется с течением времени, например, в процессе функционирования такой ЛИС могут появляться или исчезать какие-либо элементы. Если же структура ЛИС изменяется в зависимости от действий средств НСД, то это самоорганизующаяся ЛИС [10, 33].

Уровень интеграции в целевую ИС определяет место ЛИС относительно ИС, а также способ взаимодействия с ИС. ЛИС могут работать отдельно, параллельно и в составе целевой ИС. ЛИС, расположенные отдельно от целевых ИС - это территориально рассредоточенные ЛИС, использующие проводные и беспроводные каналы для связи с ИС. ЛИС, работающие параллельно целевым ИС, размещаются на одной территории и подключаются к ИС с использованием единого пограничного узла. Также компоненты ЛИС могут находиться в составе ИС [45, 100].

По назначению ЛИС могут быть производственными, исследовательскими и смешанными. Производственные ЛИС снижают вероятность успешного осуществления НСД к защищаемой информации за счёт увеличения времени её поиска. Исследовательские ЛИС применяются для изучения средств НСД, используемых ими алгоритмов с целью построения более эффективных механизмов защиты информации в целевых ИС. Смешанные ЛИС сочетают в себе возможности производственных и исследовательских ЛИС [101].

Также существенной характеристикой ЛИС является её степень сходства с целевой ИС, которая определяется уровнем корреляции состава и структуры ЛИС с целевой ИС. Чем ЛИС более схожа с целевой ИС, тем труднее с помощью средств НСД определить подлинность обманной системы, но в то же время в случае компрометации ЛИС противник может получить достоверные сведения о составе и структуре целевой ИС [42, 61].

1.3 Архитектура современных ложных информационных систем

Ложная информационная система служит для реализации механизмов введения в заблуждение нарушителя. Данные механизмы реализуются для навязывания нарушителю специальным образом подготовленной ложной информации, чтобы как можно сильнее затруднить и усложнить атаки на защищаемые информационные системы [10, 42].

Ложные информационные системы могут обеспечить повышение безопасности информационных систем непосредственно либо косвенно. Традиционно ЛИС рассматривают как ресурс безопасности, который предназначен для исследования атак со стороны нарушителей. Таким образом, косвенное влияние ЛИС на повышение безопасности защищаемых информационных систем проявляется в раскрытии стратегии, способов и средств действий нарушителей. Полученная информация служит для последующего усиления защитных механизмов [42, 88].

Непосредственное влияние ЛИС на защищенность информационной системы проявляется в усилении обшей архитектуры защиты и конкретных механизмов защиты. Для введения нарушителя в заблуждение необходимо обеспечивать реализацию более эффективных механизмов реагирования на его действия. Желаемый результат можно обеспечить за счет того, что действия нарушителя будут отвлечены от реальных объектов защищаемой ИС и направлены на объекты ЛИС. Также для достижения высокого уровня безопасности защищаемой ИС применяются одновременно с ЛИС средства межсетевого экранирования, системы обнаружения вторжений [10, 37, 39].

Построение ложных информационных систем происходит таким образом, чтобы привлечь внимание нарушителя именно на ложные объекты. В качестве причин, по которым нарушитель может обратить внимание на ложные объекты, могут быть наименее защищенная часть системы (в действительности не являющаяся таковой) или кажущаяся привлекательность информационного содержания.

По типу структуры (то есть по архитектуре) ЛИС делятся на статические и динамические. Рассмотрим более подробно архитектуру статической ложной информационной системы. Основные элементы локальной архитектуры и связи между элементами показаны на рисунке 1.3 [46, 88].

Размещено на http://www.allbest.ru/

Рисунок 1.3 - Статическая ложная информационная система

Угрозы, которым подвергается защищаемая система во время процесса совершения атак со стороны сети общего пользования, сначала подвергаются тестированию межсетевым экраном. При помощи объектов технологии виртуализации происходит анализ полученного трафика, после этого система обнаружения вторжений производит распределение трафика на ложную или на целевую информационную систему. Небольшой уровень расходуемых ресурсов обеспечивается за счет того, что в данном случае имеются такие ключевые преимущества, как простота создания и управления. Вместе с тем не стоит забывать, что учет динамики взаимодействия имитируемых объектов зависит от количества признаков, влияющих на демаскировку [26, 59].

Динамические ЛИС представляют собой наивероятнейшую перспективу развития технологии ложных информационных систем. Имеется в виду, что подобные системы должны пассивно прослушивать сеть и формировать ложные ресурсы в ЛИС при выявлении активности нарушителя в соответствии с его запросами. Идея заключается в том, что на роль приманки возможно будет допускать ложные ресурсы, не имеющие каких-либо определенных видовых ограничений. В качестве таких ложных мишеней могут использоваться любые файлы, вплоть до файлов с дезинформацией. Архитектура динамической ЛИС представлена на рисунке 1.4 Изменение топологии, конфигурации и версий программного обеспечения ЛИС вместе с динамическим изменением физических и сетевых адресов узлов ЛИС позволяют отслеживать изменения в защищаемой ИС. Изменение количества эмулируемых объектов и регулирование уровня выделяемых для функционирования ЛИС ресурсов дают большое преимущество в мониторинге уровня свободных ресурсов. Отслеживание действий нарушителя решается изолированием атакованных узлов от защищаемой ИС. Динамические ЛИС изменяются в зависимости от действий злоумышленника. При нарушении функционирования в результате атаки работа динамической ЛИС автоматически восстанавливается [36, 102].

Динамическая система - это система, которая способна при подключении к сети разворачивать в соответствующем адресном пространстве параметры конфигурации информационной системы, определенные автоматически. Такая система адаптирует свою конфигурацию в зависимости от изменения состояния сети спустя определенное количество времени. Формальная же постановка данной задачи нахождения оптимальной конфигурации ЛИС и её решение в общем виде отсутствуют. В разных работах, посвящённых построению систем, задача нахождения оптимальной конфигурации ЛИС неявно решается разными способами [4,5].

Прогресс в области развития динамических и статических ЛИС очень плотно переплетается с продвижением вперед технологий виртуализации. Виртуализация - это предоставление набора вычислительных ресурсов или их логического объединения. Данный набор ресурсов абстрагируется от аппаратного обеспечения. При этом обеспечивается логическая изоляция вычислительных процессов. Главнымв процессе виртуализации является то, что все это выполняется на одном физическом ресурсе [37].

Рисунок 1.4 - Динамическая ложная информационная система

В качестве примера применения виртуализации можно считать возможность запуска сразу одновременно нескольких операционных систем на одном рабочем компьютере. Каждый из установленных экземпляров таких гостевых операционных систем обязательно работает со своим персональным набором характерных логических ресурсов. Хостовая операционная система или гипервизор координирует передачу характерных логических ресурсов из общего пула. Пул ресурсов в свою очередь доступен на уровне оборудования. На данный момент вполне возможно создать виртуализированные сети хранения данных. Платформенное и прикладное программное обеспечение могут быть включены в функциональный процесс работы системы, созданными с помощью технологии виртуализации. Сети передачи данных также могут быть подвергнуты виртуализации [34, 42, 88, 100].

Косвенно ложные информационные системы влияют на повышение уровня препятствования атакам нарушителей за счет отвлечения на себя внимания и ресурсов нарушителей. В итоге применения ЛИС происходит повышение сложности в реализации атаки. Отсюда следует, что закономерным будет снижение риска осуществления реализации атаки. Однако в основные задачи ЛИС напрямую не входят функции блокировки [4,33].

Процесс введения в заблуждение (состояние режима обмана) нарушителя выполняется на следующих уровнях:

- уровень сегмента;

- уровень узла;

- уровень приложения.

На уровне сегмента ЛИС создает имитацию защищаемой системы, которая как раз и представляет некоторую определенную ценность для атакующей стороны. Нарушитель перенаправляется с защищаемой ИС на ЛИС, как только происходит выявление факта совершения атаки. На уровне узла ЛИС имитирует хост целевой ИС (рабочую станцию, сервер) и размещается в ее сети [42, 61].

Применительно к уровню приложения в пределах определенного узла защищаемой ИС каждое из задействованных в процессе функционирования приложение формируется специальным образом. На первом этапе целевой модуль приложения вместе с модулем обмана (ложным модулем, с которым в определенных условиях начинает взаимодействовать нарушитель) вкладывается в обертку. Далее, если система пребывает в состоянии использования, не противоречащим условиям разрешенного доступа (санкционированном), то при вызове приложения управление передается целевому модулю. В случае, когда становится очевидным факт несанкционированного обращения к системе, происходит перенаправление управления модулю обмана [4,33, 61].

1.4 Применение теории игр для решения проблем, связанных с созданием ложных информационных систем

Встречая проблемы математического моделирования ЛИС, появляются операции, которые содержат неопределенности. Неопределенности такого вида состоят в том, когда параметры, от которых зависит успешность построения и функционирования ЛИС, неизвестны, и нет никаких данных, позволяющих судить о том, какие их значения более вероятны, а какие менее вероятны. Не ясными могут быть как внешние (объективные) условия операции, которые не зависят от противоборствующих сторон, так и субъективные условия - сознательные действия противников, соперников или других лиц. Такого рода проблемы может помочь решить специальный раздел математики теория конфликтов. Разработанные в нем методы и подходы могут дать возможность фактически найти оптимальное решение для задач создания ЛИС. Данные методы позволяют более глубоко вникать в конкретные ситуации, давать оценку каждому решению, претендующему на то, чтобы быть выбранным в качестве наиболее предпочтительной альтернативы из множества других. Прежде чем принять решение, его подвергают рассмотрению с различных, часто противоречивых, точек зрения, взвешивают преимущества и недостатки, которое оно может за собой повлечь. И, в итоге, решение (или стратегия поведения в информационном конфликте) или целый набор решений, если оно не единственное, гарантирующее правоту в конкретной сложившейся ситуации, будет принято. При выборе решения в условиях неопределенности неизбежен некоторая неопределенность и элемент риска. Следует всегда об этом помнить и принимать в расчет данную тенденцию [14, 18, 47].

Конфликт - это специфический способ взаимодействия двух и более систем или их компонентов в ходе их совместного функционирования; способ взаимодействия сложных систем, направленный на снятие противоречий и ограничений; развитие систем, характеризующееся [56]:

- состоянием каждой системы, их сочетаний и надсистемы в целом;

- интересами каждой системы и их сочетаний;

- общими интересами надсистемы.

Теория конфликтов - это операционное поле и технологический инструмент, реализующий на практике конфликтологические идеи и концепции. Идея теории конфликтов состоит в построении системной модели конфликта, связывающей объекты и факторы, участвующие в конфликте. Структура конфликта - это набор взаимосвязанных компонент, необходимых для осуществления конфликтного взаимодействия и присущих ему [35, 47, 62].

Этими компонентами являются [15,32]:

1 условия (S) - это некоторая надсистема, в которой содержатся все последующие компоненты структуры конфликта. Все взаимодействия осуществляются в рамках этой надсистемы и строго по правилам, обусловленным ею;

2 стороны конфликта (X,Y) - это элементы надсистемы, вовлеченные в отношение взаимодействия (касания) друг с другом;

3 объект конфликта (реальный) (O) - это часть реальности, вовлеченная во взаимодействие с участниками конфликта;

4 предмет конфликта D (O) - это суть противоречий (предмет содействия) участников конфликта;

5 действия сторон F - это процесс изменения участниками конфликта состояния своих элементов, элементов другой стороны, объекта конфликта и надсистемы;

6 эффект конфликта - это изменение состояния среды, обусловленное конфликтным взаимодействием.

Структурная схема конфликта приведена на рисунке 1.5.

Рисунок 1.5 - Структурная схема конфликта

Динамика конфликта - это множество этапов развития конфликта и переходов между ними, характеризующих его как процесс взаимодействия сторон [32, 48, 63]:

1 предконфликтная ситуация - существуют участники, расположенные в некоторой среде, однако цели их не определены, а, следовательно, не определены объект и предмет конфликта;

2 латентная стадия - имеется некоторая область пересечения интересов участников, характеризующая объект и предмет конфликта, однако действия сторон отсутствуют;

3 активная стадия - на этом этапе имеют место все элементы конфликта, включая действия сторон и эффект от их реализации;

4 завершение конфликта - стадия, в которую переходит конфликт при невозможности его дальнейшего продолжения.

Если под конфликтами понимать все способы взаимодействия (включая и противодействие, и содействие), то их можно разделить на следующие классы: нейтралитет, единство, симбиоз, содружество, коалиция, антагонизм, строгое соперничество, нестрогое соперничество. К противодействующему взаимодействию относятся: антагонизм, соперничество, нестрогое соперничество; к содействующему взаимодействию относятся: единство, симбиоз, содружество, коалиция; нейтралитет выступает особняком.

В общем случае эффективность одной стороны зависит от эффективности другой [85]:

(1.1)

Под влиянием взаимодействия эффективность каждой из сторон изменяется, что служит основой критериальной классификации.

Интенсивность взаимодействия определяется функциональными (вариационными) производными [31]:

, . (1.2)

При ₁> 0, ₂> 0 - системы содействующие; при ₁< 0, ₂< 0 - системы противодействующие.

Так как в ситуации защиты АИС с помощью ЛИС стороны являются противодействующими сторонами, то целесообразно рассматривать только конфликты, в которых стороны являются противодействующими сторонами.

Примеры конфликтных ситуаций представляют собой чрезвычайное многообразие. К таким ситуациям, бесспорно, принадлежит ряд ситуаций в области экономики (особенно в условиях капиталистической конкуренции), а также каждая ситуация, получающаяся в процессе боевых действий. Столкновение не схожих друг с другом интересов и позиций можно зафиксировать во многих сферах деятельности человека [28, 32, 35].

Для грамотного решения задач с конфликтными ситуациями необходимы научно обоснованные методы. Такие методы разработаны математической теорией конфликтных ситуаций, которая называется теорией игр. Выработка определенных рекомендаций по разумному поведению участников конфликта и рационального его урегулирования - цель теории игр [62, 63].

Каждая непосредственно взятая из практики конфликтная ситуация очень сложна. Анализ ее усложнен факторами, появляющимися извне. И эти факторы могут оказывать воздействие на результат игры в той или иной степени. Чтобы воплотить в жизнь математический анализ конфликта, необходимо построение его математической модели. Такую модель называют игрой [14, 63].

Игра ведется по определенным правилам и именно этим отличается от реального конфликта. Эти правила указывают "права и обязанности" участников, а также исход игры - выигрыш или проигрыш каждого участника в зависимости от сложившейся ситуации. Человечество издавна пользуется такими формализованными моделями конфликтов - "играми" в буквальном смысле слова (шашки, шахматы, карточные игры и т.п.) [85, 89].

Конфликтующие стороны условно называются игроками, одно осуществление игры - партией, исход игры - выигрышем или проигрышем. Будем считать, что выигрыши (проигрыши) участников имеют количественное выражение. Развитие игры во времени можно представлять как ряд последовательных ходов участников. Выбор одного из предусмотренных правилами игры действий, который делает игрок и, соответственно его осуществление, называется ходом. Ходы бывают личные и случайные. Последовательность выбранных ходов игрока называют стратегией игры [17, 85, 89].

Задача теории игр - выявление оптимальных стратегий игроков. Основное предположение, исходя из которого находятся оптимальные стратегии, состоит в том, что противник по меньшей мере так же разумен, как и сам игрок, и делает все для того, чтобы добиться своей цели [18, 96].

Теоретико-игровой подход должен помочь разработать такую стратегию создания ЛИС, которая обеспечила бы наилучшее положение в защите информации, то есть минимальный проигрыш, который ИС может получить от нарушителя [47, 89].

1.5 Требования, предъявляемые к современным ложным информационным системам

Любые имеющиеся способы воплощения ложных систем строятся на полной или частичной эмуляции, а иногда, и на использовании физических аппаратных и программных ресурсов. Кроме этого, многие ложные системы подвержены вычислению нарушителем по тривиальным характеристикам, например, по MAC-адресу эмулированных операционных систем. То есть для маскировки признаков функционирования обманных систем нужно внедрять дополнительную избыточную информацию [42, 43].

Конечно, вначале нужно определить, какие цели преследуются в ходе эксплуатации, и какие применяются способы взаимодействия системы с другими подсистемами защиты. Исходя из этого, зависит конфигурация ЛИС в сети. Тем не менее, следующим требованиям должны подчиняться все ЛИС без исключения [4,36]:

- ЛИС обязаны поддерживать такие параметры настройки, которые бы гарантировали предельно возможное стремление злоумышленника атаковать ловушки;

- злоумышленник не должен обнаружить факт наличия ЛИС.

Вопрос о возможности различения реальной системы и системы-ловушки атакующим является комплексным.

В том случае, когда атакующая сторона смогла определить, что система, с которой она контактирует, ложная, тогда она способна применить это в личных целях. Таким образом, необходимо создать для нарушителя условия априорной неопределённости. Это следует сделать для того, чтобы нарушителю было затруднительно догадаться исключить ложную систему из списка своих целей или провести на неё отвлекающую атаку для дезинформации защищающей стороны [5,33].

Построение ЛИС следует осуществлять так, чтобы атака, осуществленная на ложный объект, выглядела, по тем или иным причинам, в большей степени предпочтительно для злоумышленника. Для этого она должна иметь вид одного из самых незащищенных элементов системы или должна обладать свойством мишени с мнимой информативной привлекательностью. Существование ЛИС в данном контексте политики безопасности и конфигурации всей системы обусловлено реализацией, проектировкой, в каких целях и в каких случаях они используются. Имитирование различных протоколов (SMTP, FTP, POP3, HTTP и т.п.) входит в функциональные опции, которые поддерживают ЛИС. Отдельный управляемый операционной системой сервер, рабочая станция или целая сеть также могут подвергнуться процессу имитации [42, 45].

Наиболее эффективным и сложным является реализация интеграции ЛИС внутри сети, подлежащей защите. Такая реализация позволяет отслеживать и пресекать вторжение изнутри, хоть и может вызвать трудности в настройке и эксплуатации. Наряду с этим можно выделить отдельное от защищаемых сетей существование ЛИС и параллельное. Все это помогает исследовать тенденции атак, выявляемые в ходе осуществления НСД, а также способствует сформулировать некую методологию действий злоумышленника [43, 45].

Полагаясь на результаты полученных и проанализированных исследований в области обеспечения безопасности информации, определим следующие ключевые функции, которые должны быть реализованы в перспективных ЛИС [4, 61, 88, 103]:

- захват данных, что подразумевает так называемое прослушивание сетевого трафика и обеспечение того, что в итоге, будут иметься данные, которые будут подвергнуты затем изучению с целью анализа;

- сбор и следующее за ним объединение данных, поступающих от различных аппаратных и программных составляющих компьютерной системы, в данном случае, СОВ, маршрутизаторов, сенсоров, межсетевых экранов и др.;

- распознавание типа "свой-чужой" и перенаправление на компоненты ЛИС подозрительных запросов;

- выявление сетевых атак (вторжений);

- фильтрация происшествий (с целью сосредоточения на событиях, представляющих интерес, и автоматического выявления, не относящихся к таким);

- прогнозирование допустимых нарушителем действий, на основании которых принимаются определенные стратегии;

- обнаружение источника угроз, трассировка и идентификация атакующего (распознавание типа, уровня потенциальных возможностей, которые он может реализовать и др.);

- слежение за действиями, которые предпринимает нарушитель, и своевременное обращение внимания на их наличие. Это находит отображение в блокировании действий нарушителя, оповещении администратора о компрометации, и др.;

- заманивание и обман нарушителя (привлечение внимания, сокрытие реальной структуры защищаемой системы и ресурсов, камуфляж, дезинформация) за счет эмуляции сетевых сегментов, серверов, рабочих станций, в том числе передаваемого трафика, и их уязвимостей, автоматическое реагирование на действия нарушителя, в том числе оповещение администратора;

- определение последовательности шагов по имитации целевой информационной системы, подчиняющей деятельность компонентов ЛИС;

- осуществление администрирования с применением технологий, позволяющих данную деятельность в удаленном режиме, ввод сигнатур, документирование, профилей и др. Это помогает централизовать управление, основанное на правилах безопасности реакции системы, унифицировать анализ тенденций и подготовку отчетов;

- предоставление интерфейса с администратором безопасности.

В обязательном порядке ЛИС должна обеспечивать выполнение, по крайней мере, двух функций - контроль и сбор данных, помимо реализации непосредственно действий, направленных на введение нарушителя в заблуждение. Это является важным условием: сбор данных гарантирует, что можно обнаружить и зарегистрировать все действия нарушителей, даже если они замаскированы или зашифрованы; назначение контроля данных заключается в том, чтобы не допустить эксплуатацию скомпрометированных компонентов (ресурсов) ИС для осуществления нападения или для причинения вреда прочим элементам после попадания нарушителя в ЛИС [34, 36].

Предполагается, что при реализации своих функций ЛИС обеспечивает три уровня введения в заблуждение [37, 39, 45]:

1 уровень приложения. При обнаружении несанкционированного обращения управление передается модулю обмана. Этот уровень соответствует парадигме "программных ловушек" ("SoftwareDecoys"). В рамках хоста целевой системы каждое приложение формируется следующим образом: целевой модуль сервиса/приложения вместе с модулем обмана вкладывается в обертку. В режиме санкционированного использования при вызове сервиса/приложения управление передается целевому модулю;