| Новости | Состав | Проекты | Награды | Патенты | Результаты | Конференции | Сотрудничество | МНЛ ИБКС | Публикации |
 | События | Материалы | Ссылки | Контакты |
rus | eng |
  

Основные фундаментальные результаты, полученные в 2005-2013 гг.

Наиболее важными результатами научных исследований являются:

  • Предложена формальная постановка задачи исследования и основные требования к компонентам, реализующим интеллектуальные механизмы защиты и поддержку жизненного цикла распределенных защищенных компьютерных систем. Разработаны принципы построения, структура и фрагмент распределенной базы знаний для интеллектуальных механизмов защиты, основанной на онтологии предметной области, и среды поддержки жизненного цикла распределенных защищенных компьютерных систем. Разработаны формальные модели отдельных компонентов интеллектуальных механизмов защиты и среды поддержки жизненного цикла распределенных защищенных компьютерных систем, в частности спецификации политик безопасности и конфигураций защищаемой системы (сети), верификации политик безопасности, определения уровня безопасности и мониторинга выполнения политики безопасности.
  • Разработаны общий подход к верификации политики безопасности корпоративных компьютерных сетей, основанный на использовании гибридной многомодульной архитектуры системы верификации, модели отдельных компонентов верификации и программный комплекс верификации. Используя преимущества многомодульной архитектуры, подход позволяет комбинировать модули общего назначения со специализированными методами. Модули общего назначения построены на основе методов доказательства теорем с использованием исчисления событий и методов проверки на модели. Они позволяют обрабатывать противоречия различных типов, в том числе и динамические. Специализированные методы направлены на более эффективную обработку противоречий конкретных типов.
  • Разработаны модели компьютерных атак и нарушителя, формирования дерева атак и оценки уровня защищенности компьютерных сетей. В отличие от существующих моделей, модель компьютерных атак позволяет использовать для наполнения множества атакующих действий как экспертные знания, так и открытые базы данных уязвимостей. Модель нарушителя позволяет учитывать не только права нарушителя на компьютерах сети и хост, с которого им реализуются атакующие действия, но и уровень знаний и умений нарушителя, а также его первичные знания об атакуемой сети. Важной особенностью данных моделей является также учет характеристик нарушителя при формировании сценариев атак. Модель формирования дерева атак использует анализ зависимостей предусловий и постусловий атакующих действий нарушителя. Данная модель обладает следующими особенностями: вершины дерева атак представляются в виде тройки <состояние сети, атакующее действие, атакуемый объект>, что обеспечивает возможность определения понятий «трасса атаки» и «угроза»; при построении дерева атак явно учитываются правила фильтрации сетевого трафика, заданные на межсетевых экранах. Модель оценки уровня защищенности компьютерных сетей использует подход Common Vulnerability Scoring System (CVSS) для определения первичных показателей защищенности, что значительно упрощает их расчет, а для определения качественного интегрального показателя защищенности компьютерной сети используется объединение подхода CVSS и методики анализа рисков Facilitated Risk Analysis and Assessment Process (FRAAP).
  • Разработана автоматизированная методика детального анализа защищенности компьютерных сетей, которая обладает следующими особенностями: использует единый подход (построение и анализ дерева атак) как для этапа проектирования сети, так и для этапа ее эксплуатации; основные этапы методики автоматизированы; не задействуются программные средства активного анализа защищенности, способные нарушить функционирование отдельных сервисов или сети в целом. Разработанная методика позволяет: учитывать разнообразие первоначального местоположения нарушителя, его знания об атакуемой сети; использовать не только конфигурацию компьютерной сети, но и правила реализуемой в ней политики безопасности; учитывать различные типы атакующих действий; использовать актуализированные открытые базы данных об уязвимостях; рассчитывать множество показателей, характеризующих защищенность компьютерной сети в целом и отдельных ее компонентов; определять «узкие места» в безопасности компьютерных сетей (хостов, ответственных за большее количество трасс атак и уязвимостей); рассчитывать интегральный показатель защищенности сети.
  • Разработан программный комплекс анализа защищенности компьютерных сетей, который базируется на предложенных моделях и методике анализа защищенности. Проведение экспериментов с использованием тестовых компьютерных сетей показало его работоспособность и более высокую эффективность по сравнению с существующими аналогичными системами.
  • Разработаны модели и программный прототип проактивного мониторинга выполнения политики безопасности в компьютерных сетях. Предлагаемые модели мониторинга политики безопасности базируются на активной имитации действий пользователей (как разрешенных, так и запрещенных политикой безопасности) и определении расхождений реакций системы от предписанных. В отличие от релевантных исследований данный подход применим к различным категориям политики безопасности (аутентификации, разграничения доступа и авторизации, фильтрации, защиты каналов связи и др.). Модели мониторинга основываются на оптимизации последовательности применения тестовых воздействий, которая затрагивает следующие аспекты: удаление избыточных тестовых воздействий; нахождение оптимальной последовательности тестовых воздействий; нахождение последовательностей тестовых воздействий, которые можно выполнять параллельно. Подход основан на планировании и формировании комплекса сценариев для проведения мониторинга политик, использовании распределенной системы сканеров, сбора и корреляции полученной от них информации. Разработанные модели и программные компоненты позволяют осуществить проверку соответствия политики безопасности, сформулированной на этапе проектирования, ее реализации в реальной системе, а также анализ адекватности этой политики целям обеспечения защиты информационных ресурсов компьютерной системы от текущих угроз безопасности.
  • Разработаны модели команд агентов, реализующих атаки «распределенный отказ в обслуживании» и механизмы защиты от них, а также модели их взаимодействия. Модели команд агентов отличаются использованием в качестве базиса методов командной работы агентов. Особенностью этих моделей является применение процедур обеспечения согласованности действий, мониторинга и восстановления функциональности агентов, а также обеспечения селективности коммуникаций. Отличительные черты моделей взаимодействия команд агентов: выделение различных видов взаимодействий команд, которые основываются на антагонистическом противоборстве, кооперации и адаптации; использование различных схем кооперации команд агентов защиты, позволяющих вести обмен данными о трафике между агентами защиты и задействовать разные классы агентов защиты; возможность адаптации команд агентов посредством генерации новых экземпляров атак и механизмов защиты и сценариев их реализации.
  • Разработана методика проведения многоагентного моделирования механизмов защиты от атак «распределенный отказ в обслуживании» в сети Интернет, базирующаяся на моделях команд агентов и их взаимодействия. Особенности методики: учитываются ключевые параметры исследуемых процессов (параметры сети и ее узлов, параметры команды атаки и реализации атаки, параметры команды защиты и механизмов защиты, параметры взаимодействия команд и др.); основные этапы методики автоматизированы; на основе выходных параметров производится оценка и сравнение различных механизмов защиты. Разработанные модели и методика могут быть обобщены для целей решения достаточно большого класса задач, в частности, задачи информационной борьбы в Интернет, конкуренции в сфере электронного бизнеса и др. Предложенную методику можно использовать для исследования эффективности разнообразных механизмов защиты, оценки защищенности существующих сетей и выработки рекомендаций для построения перспективных систем защиты.
  • Проведено дальнейшее совершенствование программной реализации исследовательской среды для изучения компьютерных атак «распределенный отказ в обслуживании» и механизмов защиты от них, основанной на агентно-ориентированном и имитационном моделировании на уровне сетевых пакетов. Для реализации исследовательской среды использована архитектура системы моделирования, включающая базовую систему имитационного моделирования, модуль (пакет) моделирования сети Интернет, подсистему агентно-ориентированного моделирования и модуль (библиотеку) атак «распределенный отказ в обслуживании» и механизмов защиты от них. Созданная среда моделирования позволяет проводить различные эксперименты с целью исследования стратегий реализации атак «распределенный отказ в обслуживании» и перспективных методов защиты от них. Проведены эксперименты по исследованию кооперативных механизмов защиты, включающих моделирование таких распределенных механизмов защиты, как DefCOM, COSSACK, «без кооперации», «кооперация на уровне фильтров», «кооперация на уровне сэмплеров», «полная кооперация». Исследовались также различные адаптивные схемы взаимодействия команд агентов.
  • Разработан проактивный подход к защите от сетевых червей, основанный на комбинировании различных механизмов обнаружения и сдерживания сетевых червей и автоматической настройке основных параметров механизмов защиты в соответствии с текущей сетевой конфигурацией и сетевым трафиком. Для разработки проактивного подхода предложено использовать комбинацию следующих особенностей: «многорезолюционный» подход, сочетающий использование нескольких интервалов времени («окон») наблюдения сетевого трафика и применение различных порогов для отслеживаемых параметров; гибридный подход, заключающийся в использовании различных алгоритмов и математических методов; многоуровневое комбинирование алгоритмов в виде системы базовых классификаторов, обрабатывающих данные о трафике, и мета-классификатора, осуществляющего выбор решения; адаптивные механизмы обнаружения и сдерживания сетевых червей, способные изменять критерии обнаружения на основе параметров сетевого трафика. Разработан программный комплекс моделирования и оценки механизмов обнаружения и сдерживания сетевых червей, который включает следующие компоненты: источники трафика или генератор трафика (формирующий нормальный трафик и трафик сетевого червя); анализатор трафика; библиотеки механизмов защиты от сетевых червей; сценарии тестирования и базовый тестовый комплекс или компонент оценки. Проведена серия экспериментов по исследованию данного подхода для выбора оптимальных параметров функционирования механизмов защиты.
  • Исследованы модели защиты программного обеспечения на основе механизма удаленного доверия, предназначенного для обнаружения несанкционированных изменений клиентской программы, функционирующей в потенциально враждебном окружении, а также возможные классы атак на указанные механизмы защиты. Предложен механизм замещения мобильного модуля в клиентской программе на основе использования концепции аспектно-ориентированного программирования, в соответствии с которой различные функциональности клиентской программы программируются отдельно, а затем встраиваются в целевой код.
  • Разработаны теоретические основы создания и алгоритмы функционирования ложных (обманных) информационных систем, представляющих собой программно-аппаратные средства обеспечения информационной безопасности, основанные на технологии «ловушек» и ложных целей. В частности, разработаны требования к обманным информационным системам, обобщенная архитектура многоагентной обманной информационной системы, обобщенные модели и алгоритмы замаскированного противодействия удаленному несанкционированному доступу к информационным ресурсам компьютерных сетей, включая модели определения «свой-чужой» и переадресации несанкционированных запросов на ложные компоненты, определения плана (стратегии) действий нарушителя, формирования плана действий ложных компонентов и др. Предлагаемый подход базируется на программной эмуляции компонентов информационных систем и на выделении трех уровней введения злоумышленников в заблуждение: (1) сегмента сети — эмулируется работа целого сегмента сети; (2) хоста — среди рабочих серверов используется хост-приманка; (3) сервисов и приложений — на серверах применяются программы, эмулирующие работу сервисов и приложений. Выполнена разработка прототипа программных средств обманной информационной системы. Реализованы программные средства и проведены эксперименты по реализации основных функций введения злоумышленников в заблуждение при реализации различного рода атак.

Россия, 199178, Санкт-Петербург, 14-я линия В.О., 39, СПБ ФИЦ РАН (ст. метро "Василеостровская").
+7-(812)-328-7181, +7-(812)-328-2642, ivkote[AT]comsec[DOT]spb[DOT]ru

Комментарии? Предложения? chechulin[AT]comsec[DOT]spb[DOT]ru

Locations of visitors to this page