3.2. Моделирование удаленного проникновения в операционную среду с применением мер и средств защиты
3.2.1. Моделирование подготовительного этапа – «сканирование сети» с применением меры защиты – использование нестандартного порта сервиса
Первоначальные действия злоумышленника ничем не отличаются от рассмотренных в пункте 3.1.1 до определенного этапа. Так как стандартными портами для ftp-сервиса является 21 порт, а для telnet-сервиса 23 порт, то одной из самых простых мер сокрытия их обнаружения является смена номера порта на другой. Всего возможно 65535 различных вариантов.
Таким образом, после определения активных хостов в сети, злоумышленник безуспешно пытается определить запущенные сервисы на стандартных портах. В итоге, для определения функционирующих сервисов, возникает необходимость опроса всех возможных портов.
Вид такой сети Петри-Маркова представлен на рис. 3.7, а обозначения для переходов и позиций приведены в табл. 3.4.
Таблица 3.4
Обозначения для переходов и позиций сети Петри-Маркова подготовительного этапа – «сканирование» сети с применением меры защиты – использование нестандартного порта сервиса
Элемент сети Петри |
Обозначение элемента |
Описание |
Позиция |
1(а) |
Злоумышленник имеет доступ к компьютеру, подключенному к сети. У злоумышленника имеется сменный носитель информации с программой для осуществления «сканирования» сети |
Позиция |
2(а) |
Носитель установлен |
Позиция |
3(а) |
Параметры программы настроены |
Позиция |
4(а) |
«Сканирование» сети на предмет обнаружения активных хостов и сервисов осуществлено безрезультатно |
Позиция |
5(а) |
Параметры программы заново настроены |
Позиция |
6(а) |
«Сканирование» сети на предмет обнаружения активных хостов и сервисов осуществлено |
Переход |
1(z) |
Установка сменного носителя информации с программой в компьютер |
Переход |
2(z) |
Настройка параметров приложения |
Переход |
3(z) |
Определение активных хостов в сети |
Переход |
4(z) |
П
Продолжение табл. 3.4 |
Переход |
5(z) |
Определение активных хостов в сети |
Входная функция |
I(zi), I=1..5 |
I(1(z)) ={1(a)}, I(2(z)) ={2(a)}, I(3(z)) = {3(a)}, I(4(z)) = {4(a)}, I(5(z)) = {5(a)} |
Выходная функция |
O(zi), i=1…5 |
I(1(z)) ={2(a)}, I(2(z)) = {3(a)}, I(3(z)) ={4(a)}, I(4(z)) = {5(a)}, I(5(z)) = {6(a)} |
Элементы матрицы, определяющие логические функции срабатывания сети, могут быть записаны (без учета направленности дуг графа) следующим образом:
ν1(а)5(z)= |
|
1(z) |
2(z) |
3(z) |
4(z) |
5(z) |
1(a) |
1 |
0 |
0 |
0 |
0 |
|
2(a) |
1 |
1 |
0 |
0 |
0
(3.30) |
|
3(a) |
0 |
1 |
1 |
0 |
0 |
|
4(a) |
0 |
0 |
1 |
1 |
0 |
|
5(a) |
0 |
0 |
0 |
1 |
1 |
|
6(a) |
0 |
0 |
0 |
0 |
1 |
Система интегро-дифференциальных уравнений для данной сети выглядит следующим образом:
(3.31)
где: - вероятность установки сменного носителя информации с программой в компьютер;
- вероятность настройки параметров приложения;
- вероятность определения активных хостов и сервисов на стандартных портах;
- вероятность повторной настройки параметров приложения;
- вероятность определения активных хостов и сервисов на нестандартных портах;
Вероятность перехода сети Петри-Маркова из начального состояния в конечное состояние определяется как вероятность того, что ко времени t перемещение пройдет по всей сети, от начального состояния до конечного перехода:
(3.32)
Полагаем, что плотности распределения вероятностей являются экспоненциальными зависимостями и имеют вид:
(3.33)
где: - интенсивность установки сменного носителя информации с программой в компьютер;
- интенсивность настройка параметров приложения;
- интенсивность определения активных хостов и сервисов на стандартных портах;
- интенсивность
повторной настройки параметров
приложения;
- интенсивность
определения активных хостов и сервисов
на нестандартных портах,
где τi,j (i=1..5, j=1..5) - средние времена вышеперечисленных действий соответственно.
Применяя пуассоновское приближение, получаем среднее время перемещения по сети Петри-Маркова из начальной позиции до конечного перехода и вероятность этого перемещения:
(3.34)
(3.35)
Подставляя в это выражение полученные
значения временных характеристик
получаем при
с:
(3.36)
На рис. 3.8 представлена зависимость от времени вероятности сканирования хостов в сети и определения функционирующих сервисов.
Рис. 3.8. Зависимость от времени вероятности реализации сканирования хостов в сети и определения функционирующих сервисов