Green-sell.info

Новые технологии
3 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Модель сетевой безопасности

Модель безопасного сетевого взаимодействия

Модель безопасного сетевого взаимодействия в общем виде можно представить следующим образом:

Рис. 1. Модель сетевой безопасности

Сообщение, которое передается от одного участника другому, проходит через различного рода сети. При этом будем считать, что устанавливается логический информационный канал от отправителя к получателю с использованием различных коммуникационных протоколов (например, ТСР/IP).

TCP/IP — аббревиатура термина Transmission Control Protocol/Internet Protocol(Протокол управления передачей/Интернет Протокол) — это согласованный заранее стандарт, служащий для обмена данных между двумя узлами(компьютерами в сети).

TCP/IP служит как мост, соединяющий все узлы сети воедино. Название «TCP/IP» связано с двумя протоколами: TCP и IP. Но TCP/IP — это не только эти два протокола. Это целое семейство протоколов, объединенное под одним началом — IP-протоколом.

Протокол IP выполняет задачу — маршрутизация. Он обеспечивает доставку данных по каналам (маршрутам) к адресату, т.е. отвечает за доставку данных из пункта А в пункт В. Но сам IP протокол не гарантирует, что посланные по нему данные придут к получателю полностью и без искажений(а такое часто происходит из-за помех на канале связи). Надёжность передачи данных по IP протоколу обеспечивают протоколы более высокого уровня.

TCP — Transmission Control Protocol. Он занимается передачей больших объёмов данных по сети с помощью IP-протокола, разделяя их по частям и вновь собирая воедино в конце маршрута. При отправке с помощью TCP/IP данные кодируются и делятся на TCP-пакеты(сегменты) так, чтобы потом была возможность восстановить их при распаковке в случае их повреждения.

Средства безопасности необходимы, если требуется защитить передаваемую информацию от противника, который может представлять угрозу конфиденциальности, аутентификации, целостности и т.п.

Все технологии повышения информационной безопасности имеют два компонента:

1. Относительно безопасная передача информации. Примером является шифрование, когда сообщение изменяется таким образом, что становится нечитаемым для противника, и, возможно, дополняется кодом, который основан на содержимом сообщения и может использоваться для аутентификации отправителя и обеспечения целостности сообщения.

2. Некоторая секретная информация, разделяемая обоими участниками и неизвестная противнику. Примером является ключ шифрования.

В некоторых случаях для обеспечения безопасной передачи бывает необходима третья доверенная сторона (third trusted party — TTP).

Например, третья сторона:

· может быть ответственной за распределение между двумя участниками секретной информации, которая не стала бы доступна противнику.

· либо может использоваться для решения споров между двумя участниками относительно достоверности передаваемого сообщения.

Из данной общей модели вытекают три основные задачи, которые необходимо решить при разработке конкретногосервиса безопасности:

1. Разработать алгоритм шифрования/дешифрования для выполнения безопасной передачи информации. Алгоритм должен быть таким, чтобы противникне мог расшифровать перехваченное сообщение, не зная секретную информацию.

2. Создать секретную информацию, используемую алгоритмом шифрования.

3. Разработать протокол обмена сообщениями для распределения разделяемой секретной информации таким образом, чтобы она не стала известна противнику.

4. Криптография: основные понятие, задачи, термины и определения.

Криптография – наука, изучающая математические методы защиты информации, методы преобразования, обеспечивающие ее конфиденциальность и аутентичность.

Конфиденциальность – невозможность получения информации из преобразованного массива, без знания дополнительной информации.

Аутентичность – проверка подлинности.

Криптоанализ – объединенные математические методы нарушения конфиденциальности и аутентичности информации без знания ключей.

Стеганография– обеспечение скрытности передаваемой информации.

Криптографическая стойкость – способность системы быть устойчивой к анализу аналитических методов перебора.

Алфавит – конечное множество, используемых для кодирования информации знаков.

Текст(сообщение) – упорядоченный набор из элементов алфавита.

Кодирование – любое преобразование данных из одной формы представления в другую.

Шифрование – преобразование текста, в результате которого прочитать зашифрованный текст может только тот, кто обладает специальным ключом.

Шифр – совокупность обратимых преобразований множества открытых данных на множество зашифрованных данных, заданных алгоритмом криптографическим преобразования.

Ключ (секретное слово) – конкретное секретное состояние некоторых параметров алгоритма криптографических преобразований.

Дешифрование – процесс преобразования закрытых данных в открытые, при неизмененном ключе, при условии, что данный ключ неизвестен и алгоритм который используется тоже неизвестен.

Стойкость шифра – (противостояние криптоанализу) должна быть такой, чтобы вскрытие его могло быть осуществлено только решением задачи перебора всех ключей, требованием созданием дорогих вычислительных машин.

Алгоритм – некий режим шифрования, который зависит от ситуации, ценности информации.

Возможные действия злоумышленника:

1. Прерывание процесса передачи информации;

2. Создание поддельных данных;

3. Модификация.

Современная криптография включает в себя четыре крупных раздела:

1. Симметричные криптосистемы;

2. Криптосистемы с открытым ключом;

3. Системы электронной подписи;

4. Управление ключами.

Системы шифрования:

1. симметричные – секретный ключ 1 для обеих сторон:

• поточные – шифрование отдельных символов;

блочные – шифрование блоков ;

2. ассиметричные – 1 ключ открыт, 2 ключ получателя закрыт.

Введение

Модель сетевой безопасности

Классификация сетевых атак

В общем случае существует информационный поток от отправителя (файл, пользователь, компьютер) к получателю (файл, пользователь, компьютер):

Все атаки можно разделить на два класса: пассивные и активные .

I. Пассивная атака

Пассивной называется такая атака , при которой противник не имеет возможности модифицировать передаваемые сообщения и вставлять в информационный канал между отправителем и получателем свои сообщения. Целью пассивной атаки может быть только прослушивание передаваемых сообщений и анализ трафика .

II. Активная атака

Активной называется такая атака , при которой противник имеет возможность модифицировать передаваемые сообщения и вставлять свои сообщения. Различают следующие типы активных атак :

  1. Отказ в обслуживании — DoS-атака (Denial of Service)

Отказ в обслуживании нарушает нормальное функционирование сетевых сервисов . Противник может перехватывать все сообщения, направляемые определенному адресату. Другим примером подобной атаки является создание значительного трафика, в результате чего сетевой сервис не сможет обрабатывать запросы законных клиентов. Классическим примером такой атаки в сетях TCP/IP является SYN -атака, при которой нарушитель посылает пакеты, инициирующие установление ТСР-соединения, но не посылает пакеты, завершающие установление этого соединения. В результате может произойти переполнение памяти на сервере, и серверу не удастся установить соединение с законными пользователями.

Модификация потока данных означает либо изменение содержимого пересылаемого сообщения, либо изменение порядка сообщений.

Фальсификация (нарушение аутентичности ) означает попытку одного субъекта выдать себя за другого.

Повторное использование означает пассивный захват данных с последующей их пересылкой для получения несанкционированного доступа — это так называемая replay-атака . На самом деле replay-атаки являются одним из вариантов фальсификации, но в силу того, что это один из наиболее распространенных вариантов атаки для получения несанкционированного доступа, его часто рассматривают как отдельный тип атаки .

Перечисленные атаки могут существовать в любых типах сетей, а не только в сетях, использующих в качестве транспорта протоколы TCP/IP, и на любом уровне модели OSI . Но в сетях, построенных на основе TCP/IP, атаки встречаются чаще всего, потому что, во-первых, Internet стал самой распространенной сетью, а во-вторых, при разработке протоколов TCP/IP требования безопасности никак не учитывались.

Сервисы безопасности

Основными сервисами безопасности являются следующие:

Читать еще:  Gmail безопасность и вход

Конфиденциальность — предотвращение пассивных атак для передаваемых или хранимых данных.

Аутентификация — подтверждение того, что информация получена из законного источника, и получатель действительно является тем, за кого себя выдает. В случае передачи единственного сообщения аутентификация должна гарантировать, что получателем сообщения является тот, кто нужно, и сообщение получено из заявленного источника. В случае установления соединения имеют место два аспекта. Во-первых, при инициализации соединения сервис должен гарантировать, что оба участника являются требуемыми. Во-вторых, сервис должен гарантировать, что на соединение не воздействуют таким образом, что третья сторона сможет маскироваться под одну из легальных сторон уже после установления соединения.

Целостность — сервис , гарантирующий, что информация при хранении или передаче не изменилась. Может применяться к потоку сообщений, единственному сообщению или отдельным полям в сообщении, а также к хранимым файлам и отдельным записям файлов.

Невозможность отказа — невозможность, как для получателя, так и для отправителя, отказаться от факта передачи. Таким образом, когда сообщение отправлено, получатель может убедиться, что это сделал легальный отправитель. Аналогично, когда сообщение пришло, отправитель может убедиться, что оно получено легальным получателем.

Контроль доступа — возможность ограничить и контролировать доступ к системам и приложениям по коммуникационным линиям.

Доступность — результатом атак может быть потеря или снижение доступности того или иного сервиса. Данный сервис предназначен для того, чтобы минимизировать возможность осуществления DoS-атак .

Механизмы безопасности

Перечислим основные механизмы безопасности :

Алгоритмы симметричного шифрования — алгоритмы шифрования , в которых для шифрования и дешифрования используется один и тот же ключ или ключ дешифрования легко может быть получен из ключа шифрования .

Алгоритмы асимметричного шифрования — алгоритмы шифрования , в которых для шифрования и дешифрования используются два разных ключа, называемые открытым и закрытым ключами , причем, зная один из ключей, вычислить другой невозможно.

Хэш-функции — функции, входным значением которых является сообщение произвольной длины, а выходным значением — сообщение фиксированной длины. Хэш-функции обладают рядом свойств, которые позволяют с высокой долей вероятности определять изменение входного сообщения.

Модель сетевого взаимодействия

Модель безопасного сетевого взаимодействия в общем виде можно представить следующим образом:

Сообщение, которое передается от одного участника другому, проходит через различного рода сети. При этом будем считать, что устанавливается логический информационный канал от отправителя к получателю с использованием различных коммуникационных протоколов (например, ТСР/IP).

Средства безопасности необходимы, если требуется защитить передаваемую информацию от противника , который может представлять угрозу конфиденциальности , аутентификации , целостности и т.п. Все технологии повышения безопасности имеют два компонента:

  1. Относительно безопасная передача информации. Примером является шифрование, когда сообщение изменяется таким образом, что становится нечитаемым для противника , и, возможно, дополняется кодом, который основан на содержимом сообщения и может использоваться для аутентификации отправителя и обеспечения целостности сообщения.
  2. Некоторая секретная информация, разделяемая обоими участниками и неизвестная противнику . Примером является ключ шифрования .

Кроме того, в некоторых случаях для обеспечения безопасной передачи бывает необходима третья доверенная сторона (third trusted party — TTP ). Например, третья сторона может быть ответственной за распределение между двумя участниками секретной информации, которая не стала бы доступна противнику . Либо третья сторона может использоваться для решения споров между двумя участниками относительно достоверности передаваемого сообщения.

Из данной общей модели вытекают три основные задачи, которые необходимо решить при разработке конкретного сервиса безопасности :

Модель сетевой безопасности

Основные понятия и определения

За несколько последних десятилетий требования к информационной безопасности существенно изменились. До начала широкого использования автоматизированных систем обработки данных безопасность информации достигалась исключительно физическими и административными мерами. С появлением компьютеров стала очевидной необходимость использования автоматических средств защиты файлов данных и программной среды. Следующий этап развития автоматических средств защиты связан с появлением распределенных систем обработки данных и компьютерных сетей, в которых средства сетевой безопасности используются в первую очередь для защиты передаваемых по сетям данных. В наиболее полной трактовке под средствами сетевой безопасности мы будем иметь в виду меры предотвращения нарушений безопасности, которые возникают при передаче информации по сетям, а также меры, позволяющие определять, что такие нарушения безопасности имели место. Именно изучение средств сетевой безопасности и связанных с ними теоретических и прикладных проблем, составляет основной материал книги.

Термины «безопасность информации» и «защита информации» отнюдь не являются синонимами. Термин «безопасность» включает в себя не только понятие защиты, но также и аутентификацию, аудит, обнаружение проникновения.

Перечислим некоторые характерные проблемы, связанные с безопасностью, которые возникают при использовании компьютерных сетей:

  1. Фирма имеет несколько офисов, расположенных на достаточно большом расстоянии друг от друга. При пересылке конфиденциальной информации по общедоступной сети (например, Internet) необходимо быть уверенным, что никто не сможет ни подсмотреть, ни изменить эту информацию.
  2. Сетевой администратор осуществляет удаленное управление компьютером. Пользователь перехватывает управляющее сообщение, изменяет его содержание и отправляет сообщение на данный компьютер.
  3. Пользователь несанкционированно получает доступ к удаленному компьютеру с правами законного пользователя, либо, имея право доступа к компьютеру, получает доступ с гораздо большими правами.
  4. Фирма открывает Internet-магазин, который принимает оплату в электронном виде. В этом случае продавец должен быть уверен, что он отпускает товар, который действительно оплачен, а покупатель должен иметь гарантии, что он, во-первых, получит оплаченный товар, а во-вторых, номер его кредитной карточки не станет никому известен.
  5. Фирма открывает свой сайт в Internet. В какой-то момент содержимое сайта заменяется новым, либо возникает такой поток и такой способ обращений к сайту, что сервер не справляется с обработкой запросов. В результате обычные посетители сайта либо видят информацию, не имеющую к фирме никакого отношения, либо просто не могут попасть на сайт фирмы.

Рассмотрим основные понятия, относящиеся к информационной безопасности, и их взаимосвязь.

Собственник определяет множество информационных ценностей, которые должны быть защищены от различного рода атак. Атаки осуществляются противниками или оппонентами, использующими различные уязвимости в защищаемых ценностях. Основными нарушениями безопасности являются раскрытие информационных ценностей (потеря конфиденциальности), их неавторизованная модификация (потеря целостности) или неавторизованная потеря доступа к этим ценностям (потеря доступности).

Собственники информационных ценностей анализируют уязвимости защищаемых ресурсов и возможные атаки, которые могут иметь место в конкретном окружении. В результате такого анализа определяются риски для данного набора информационных ценностей. Этот анализ определяет выбор контрмер, который задается политикой безопасности и обеспечивается с помощью механизмов и сервисов безопасности. Следует учитывать, что отдельные уязвимости могут сохраниться и после применения механизмов и сервисов безопасности. Политика безопасности определяет согласованную совокупность механизмов и сервисов безопасности, адекватную защищаемым ценностям и окружению, в котором они используются.

На рис.1.1 показана взаимосвязь рассмотренных выше понятий информационной безопасности.


Рис. 1.1. Взаимосвязь основных понятий безопасности информационных систем

Дадим следующие определения:

Уязвимость — слабое место в системе, с использованием которого может быть осуществлена атака.

Риск — вероятность того, что конкретная атака будет осуществлена с использованием конкретной уязвимости. В конечном счете, каждая организация должна принять решение о допустимом для нее уровне риска. Это решение должно найти отражение в политике безопасности, принятой в организации.

Читать еще:  Система защиты безопасности

Политика безопасности — правила, директивы и практические навыки, которые определяют то, как информационные ценности обрабатываются, защищаются и распространяются в организации и между информационными системами; набор критериев для предоставления сервисов безопасности.

Атака — любое действие, нарушающее безопасность информационной системы. Более формально можно сказать, что атака — это действие или последовательность связанных между собой действий, использующих уязвимости данной информационной системы и приводящих к нарушению политики безопасности.

Механизм безопасности — программное и/или аппаратное средство, которое определяет и/или предотвращает атаку.

Сервис безопасности — сервис, который обеспечивает задаваемую политикой безопасность систем и/или передаваемых данных, либо определяет осуществление атаки. Сервис использует один или более механизмов безопасности.

Рассмотрим модель сетевой безопасности и основные типы атак, которые могут осуществляться в этом случае. Затем рассмотрим основные типы сервисов и механизмов безопасности, предотвращающих такие атаки.

Модель сетевой безопасности

Показатели угроз безопасности на уровнях модели OSI

Рубрика: Технические науки

Дата публикации: 26.06.2015 2015-06-26

Статья просмотрена: 2550 раз

Библиографическое описание:

Чаплыгина М. П. Показатели угроз безопасности на уровнях модели OSI // Молодой ученый. — 2015. — №13. — С. 214-217. — URL https://moluch.ru/archive/93/20668/ (дата обращения: 03.04.2020).

Система обнаружения вторжений — распространенный сервис безопасности. Основным способом которого является использование сигнатур (формальных признаков вероятности сетевой атаки). Для каждого уровня они различные (в изобразительных свойствах), так как они формируют признаки и используют различные методы и термины.

Для первых четырёх уровней модели OSI формируем критерии, на основании которых принимаем решение о конкретной ситуации.

Протоколы физического уровня описывают электрические, механические, функциональные и процедурные средства для активации, поддержки и деактивации физического соединения, обеспечивающего передачу бит из одного сетевого устройства в другое. Физический уровень получает пакеты данных от вышележащего канального уровня и преобразует их в оптические или электрические сигналы, соответствующие 0 и 1 бинарного потока. Эти сигналы посылаются через среду передачи на приемный узел.

Механические и электрические/оптические свойства среды передачи определяются на физическом уровне и включают в себя:

— тип кабелей и разъемов;

— разводку контактов в разъемах;

— схему кодирования сигналов для значений 0 и 1.

На этом же уровне определяются характеристики электрических сигналов, такие как:

— уровни напряжения или тока передаваемого сигнала;

— скорости передачи сигналов.

1. Физическая работоспособность.

2. Физическая целостность (целостность системы защиты).

3. Физическая доступность.

На физическом уровне происходит резервирование — дублирование линков.

3. Скорость передачи.

1. Давление в манометре (например, падение давления в трубе ниже определенного уровня является сигнатурой).

2. Использование каналов, не задействованных в защищаемой сети.

3. Перекрывающиеся каналы.

4. Внезапное изменение рабочего канала одним или несколькими устройствами, за которыми ведется наблюдение.

5. А вот события, фиксируемые СОВ на верхних уровнях стека протоколов, например, большое число фрагментированных пакетов или запросов TCP SYN, может указывать на сканирование портов или DoS-атаку. Но, если это просто результат плохой связи на физическом уровне, данная проблема не является сигнатурой.

3. Среда теряет функциональность (утратила физические свойства).

4. Используемые характеристики находятся в неправильном диапазоне.

5. Изменились свойства канала, то есть передача, как таковая, совершаться будет, но сам канал передачи будет ненадежный (не защищен).

Канальный уровень подготавливает фреймы для передачи по локальной среде.

В локальных сетях канальный уровень разделяется на два подуровня.

— подуровень управления логическим каналом (LLC);

— подуровень доступа к среде (MAC).

В отличие от других протокольных блоков данных, фрейм канального уровня состоит из следующих элементов: заголовок (содержит контрольную информацию), данные (содержит заголовок IP, заголовок транспортного уровня и данные), концевик (содержит контрольную информацию для выявления ошибок).

1. Корректность реализации соглашений протокола.

3. Статистическая устойчивость интенсивности фреймов с чужим MAC-адресом.

MAC — адреса и идентификаторы виртуальных сегментов сети должны быть определены и перечислены.

1. Принадлежность текущего MAC-адреса или идентификатора таким спискам.

2. Частота поступлений широковещательных фреймов (например, должно быть 3 с / на определенный узел, а пришло 1000 фреймов).

4. Большое количество широковещательных фреймов.

1. Несовпадение текущего MAC-адреса или идентификатора ни с одним элементом из элементов списка.

2. Превышение частоты некоторого заранее установленного порога с / на определенный узел.

3. Превышение количества пришедших на интерфейс коммутатора фреймов с чужим MAC-адресом.

4. Количество широковещательных фреймов превысило допустимые показатели.

5. Фреймы с другим VLAN ID (идентификатор VLAN, указывающий, какому VLAN’у принадлежит фрейм. Диапазон возможных значений VID от 0 до 4095).

1. Перехват фреймов.

2. На интерфейс коммутатора пришел фрейм с чужим MAC-адресом.

3. Компрометация на ARP (1 хост подменяется другим).

4. Broadcast storm (считается, что приемлемая доля широковещательного трафика должна составлять 10 % от трафика всей сети. Значение в 20 % и выше должно классифицироваться как атака).

5. Попытка подмена VLAN.

Сетевой уровень предоставляет функции для передачи отдельных компонентов данных по сети между указанными оконечными устройствами.

Основные задачи сетевого уровня:

— перевод логических имен в физические сетевые адреса (и обратно);

— выбор маршрута, по которому пакет доставляется по назначению (если в сети имеется несколько маршрутов).

Протоколы сетевого уровня модели OSI определяют адресацию и процессы, которые позволяют упаковывать и передавать данные транспортного уровня. Инкапсуляция сетевого уровня обеспечивает прохождение данных по сети к адресату (или другой сети) с минимальной нагрузкой.

Наиболее часто на сетевом уровне используются протоколы: IP, IPX, NetBEUI.

1. Статистическая устойчивость интенсивности пропускной способности сети.

2. Допустимость уровня фрагментации пакетов.

1. Тип и размер пакетов (хостам рекомендуется отправлять пакеты размером более чем 576 байт, только если они уверены, что принимающий хост или промежуточная сеть готовы обслуживать пакеты такого размера).

2. Результаты трассировки (мы знаем, какой маршрут должен быть обычно, выполняем Tracert (Trace route), а он другой).

3. Уровень фрагментации пакетов.

1. Отсутствие маршрутов в сети.

2. Пропажа пакетов (ошибки маршрутизации).

3. Превышение частоты некоторого заранее установленного порога с / на определенный узел.

5. Повышенный уровень фрагментации пакетов.

6. Частые повторные передачи пакетов.

1. Подмена default gateway (шлюза по умолчанию).

2. Нарушение процесса маршрутизации.

Транспортный уровень определяет сервисы для сегментации, передачи и сборки данных для отдельных сообщений между оконечными устройствами, производит разбивку передаваемых данных на блоки, помещаемые в пакеты, обеспечивает доставку пакетов и восстановление принимаемых данных. Доставка сегментов возможна как с установлением соединения (виртуального канала), так и без. Транспортный уровень является пограничным и связующим между верхними тремя, сильно зависящими от приложений, и тремя нижними уровнями, сильно привязанными к конкретной сети.

Наиболее распространенные протоколы транспортного уровня: TCP, UDP, NetBEUI.

1. Надежность соединения.

2. Способность к обнаружению и исправлению ошибок передачи.

3. Ложность порядка номеров сообщений.

1. Проходит / не проходит сегмент.

Читать еще:  Как поставить безопасный режим

2. Совокупность количества и портов (существуют AKL блокирующие только по IP — адресам, а есть и другие, которые блокируют и по IP и по портам).

1. Блокируются определенные службы.

2. Аномальное количество сегментов на определенный порт.

3. Аномальное количество запросов на порты.

4. Размер сегментов (размер сегмента представляет собой обычно небольшое число (от 500 байт до 5 килобайт).

5. Большая или заведомо неполная последовательность формирования сегментов.

1. Подмена UDP пакетов.

2. Посылка / приемка «тяжелых» сегментов.

3. Атаки LAND: № порта отправителя = № порта получателя®зацикливание.

Транспортный уровень обеспечивает приложениям или верхним уровням стека — прикладному и сеансовому — передачу данных с той степенью надежности, которая им требуется.

1. Таненбаум Э., Уэзеролл Д. Компьютерные сети. 5-е изд. — СПб.: Питер, 2012. — 960 с.

2. Олифер В. Г., Олифер Н. А. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. 4-е изд.-СПБ.: Питер, 2010. — 944 с.: ил.

Модель сетевых процессов и алгоритм обнаружения угроз в компьютерной сети Текст научной статьи по специальности «Компьютерные и информационные науки»

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Селин Роман Николаевич, Чурилов Сергей Анатольевич

Представлена модель сетевых процессов и алгоритм обнаружения угроз в компьютерной сети, предназначенные для прогнозирования изменения уровня информационной безопасности в зависимости от происходящих сетевых событий. Авторы предлагают новый способ моделирования механизма угроз информационной безопасности , который позволяет предугадывать различные варианты развития компьютерных атак. С помощью приведенной модели решаются задачи прогнозирования компьютерных атак с целью их предотвращения

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Селин Роман Николаевич, Чурилов Сергей Анатольевич

ANALYSIS OF INFORMATION SECURITY LEVEL FOR VIRTUAL SOCIETIES BASED ON TYPE AND NUMBER OF VULNERABILITIES FOUND

This article presents a model of network processes and the algorithm of detecting threats in computer networks, designed to predict changes in the level of information security in dependence on the network events. The authors propose a new way of modeling the mechanism of threats to information security, which allows you to anticipate the various options for the development of computer attacks. By means of the resulted model primal problems of computer attacks for the purpose of their preventing are solved.

Текст научной работы на тему «Модель сетевых процессов и алгоритм обнаружения угроз в компьютерной сети»

ПО сервера реализует в отличие от ПО блока сбора данных сразу несколько функций: обмена пакетами с блоком сбора данных при помощи TCP/IP-сокета (прием данных и настройка датчиков), хранение данных в БД (в качестве СУБД была выбрана MySQL и технология доступа dbExpress), формирование HTML-страниц (технология WebSnap) и предоставление их удаленному клиенту (веб-браузер). Связь с веб-браузером организована через стандартный веб-сервер Apache.

о практической возможности создания распределенной системы мониторинга, была предложена структура системы мониторинга, разработана ее модель в среде Simulink(Matlab), выбраны средства ее разработки и разработан программный , . эксплуатации прототипа показали его работоспособность и эффективность.

Можно выделить несколько путей развития данного проекта: полнофункциональная реализация предложной архитектуры распределенной системы мониторинга или реализация данного подхода и прикладного интерфейса программирования для создания отдельных датчиков с веб-ин^ефейсом, каждое из которых является весь.

1. Таненбаум Э., Ван Стеен М. Распределенные системы. Принципы и парадигмы. — СПб.: Питер, 2003. — 877 с.

2. Сигаев A. Embedded Internet // Компоненты и технологии. — 2000. — № 2.

3. Зубинский А. МиKpoWeb // Компьютерное обозрение. — 2000. — № 20.

Статью рекомендовал к опубликованию д.т.н., профессор В.В. Тютиков. Фролова Марина Владимировна

Научно-исследовательский институт физических измерений.

E-mail: niifi@sura.ru, fro-mi2@yandex.ru.

440026, г. Пенза, ул. Володарского, 8/10.

Frolova Marina Vladimirovna

Research Institute of Physical Measurements.

E-mail: niifi@sura.ru, fro-mi2@yandex.ru.

8/10, Volodarskogo Street, Penza, 440026, Russia.

Р.Н. Селин, С.А. Чурилов МОДЕЛЬ СЕТЕВЫХ ПРОЦЕССОВ И АЛГОРИТМ ОБНАРУЖЕНИЯ УГРОЗ В КОМПЬЮТЕРНОЙ СЕТИ

Представлена модель сетевых процессов и алгоритм обнаружения угроз в компьютерной сети, предназначенные для прогнозирования изменения уровня информационной безопасности в зависимости от происходящих сетевых событий. Авторы предлагают новый способ моделирования механизма угроз информационной безопасности, который позволяет предугадывать различные варианты развития компьютерных атак. С помощью приведенной модели решаются задачи прогнозирования компьютерных атак с целью их .

Информационная безопасность; модель; сетевой процесс; уязвимость; обнаружение

R.N. Selin, S.A. Churilov

ANALYSIS OF INFORMATION SECURITY LEVEL FOR VIRTUAL SOCIETIES BASED ON TYPE AND NUMBER OF VULNERABILITIES

This article presents a model of network processes and the algorithm of detecting threats in computer networks, designed to predict changes in the level of information security in dependence on the network events. The authors propose a new way of modeling the mechanism of threats to information security, which allows you to anticipate the various options for the development of computer attacks. By means of the resulted model primal problems of computer attacks for the purpose of their preventing are solved.

Information security; security model; network event; system exploit; threat detection.

Существующие технологии распознавания подозрительной сетевой активности на практике показали, что для эффективной работы простых эвристических правил и наборов сигнатур недостаточно. Типовая структура компьютерной атаки имеет комплексную и достаточно сложную организацию, полностью выявить и распознать которую сигнатурным способом без дополнительных связей невозможно. С другой стороны, если говорить об анализе сетевой среды, каждый анализируемый сетевой пакет — атомарное событие — дает определенную порцию ин-, -жет использовать для решения трех задач:

1. Оценки полноты контроля над текущей ситуацией в сетевой среде.

2. Прекращения злонамеренной деятельности по результатам обнаруженных следов или попыток совершения злонамеренной деятельности.

3. Прогнозирования компьютерных атак с целью их предотвращения.

Для создания математической модели, описывающей подобные процессы необходимы понятия «видимости», «доверия» и «контроля». Математическое представление некоторых из этих сущностей присутствует в формальном языке описания криптографических протоколов «BAN-logic», разработанном Борройс, Абади и Нидхэмом [1].

для описания таких процессов, как контроль сетевого трафика, наличие или отсутствие угрозы информационной безопасности. В следствие этого, математический — .

Введем основные определения, которые понадобятся для моделирования процесса мониторинга компьютерной сети:

♦ существуют субъекты сети, каждый из которых мы будем обозначать через P, которые могут получать доступ к различным объектам X компьютерных сетей (при этом P могут выполнять две функции — пользовательскую, т.е. организовывать прием и передачу информации, и наблюдательную, т.е. наблюдать за этим процессом и блокировать его);

целым рядом свойств, а именно:

б) канал надежен, т.е. переданное абонентом А сообщение m абоненту B

в) канал не имеет временных задержек (условимся считать, что данное до-

♦ через P |= X будем обозначать то, что наблюдатель Р верит в некоторую сущность X. На практике это означает, что Р считает значение некоторого условия X истинным;

Ссылка на основную публикацию
Adblock
detector