ri2014_materials

1. Воздействие на гражданское население и (или) военнослужащих другого государства путем распространения определенной информации. В этом смысле также используется термин психологическая война – психологическое воздействие на гражданское население и (или) военнослужащих другого государства с целью достижения политических или чисто военных целей.

2.Целенаправленные действия, предпринятые для достижения информационного превосходства путем нанесения ущерба информации, информационным процессам и информационным системам противника при одновременной защите собственной информации, информационных процессов и информационных систем.

Навязывание чуждых целей – это то, что делает информационную войну войною и отличает ее от обычной рекламы.

Как правило, методами ведения информационной войны является выброс дезинформации, или представление информации в выгодном для себя ключе. Данные методы позволяют изменять оценку происходящего населением территории противника, развивать пораженческое настроение, и, в перспективе, обеспечить переход на сторону ведущего информационное воздействие.

Информационное превосходство – возможность сбора, обработки и распространения непрерывного потока информации при воспрещении использования (получения) информации противником. Информационное превосходство достигается в не боевой обстановке или в обстановке, в которой еще нет четко обозначившихся противников, в то время, когда свои войска получают информацию, необходимую им для выполнения оперативных задач.

Информационное пространство фактически стало театром военных действий, где каждая противоборствующая сторона стремится получить преимущество.

Ренсков А.А., Беляев С.В.

Россия, Санкт-Петербург, Военная академия связи ИНФОРМАЦИОННОЕ ОРУЖИЕ

Информационное оружие (ИО) – это средства уничтожения, искажения или хищения информационных массивов, добывания из них необходимой информации после преодоления систем защиты, ограничения или воспрещения доступа к ним законных пользователей, дезорганизации работы технических средств, вывода из строя телекоммуникационных сетей, компьютерных систем, всех средств высокотехнологического обеспечения жизни общества и функционирования государства.

Информационное оружие сочетает невысокий уровень затрат и высокую эффективность применения. Оно не уничтожает противника, для него не требуется создание сложных структур и при этом нет необходимости пересекать границы.

Информационное оружие по сути своей двулико, в нем хорошо прослеживаются электронный

ичеловеческий аспекты. С одной стороны, общество все в большей мере попадает в зависимость от информационных технологий, поэтому нормальная работа многих компьютеров и компьютерных сетей без преувеличения имеет жизненно важное значение. С другой стороны, главным стратегическим объектом воздействия информационного оружия остаются все-таки люди.

Счисто военной точки зрения, информационное оружие можно разделить на наступательное

иоборонительное.

Наступательное информационное оружие одна из самых секретных областей. К наступательному оружию, например, можно причислить умение проникать в компьютерные системы противника. Оборонительное оружие должно обеспечить доступность, целостность и конфиденциальность информации и поддерживающей инфраструктуры, несмотря на агрессивные действия противника.

По области применения информационное оружие подразделяется на военного и невоенного назначения.

Особую опасность ИО представляет для информационных компьютерных систем органов государственной власти, управления войсками и оружием, финансами и банками, экономикой страны, а также для людей при информационно-психологическом (психофизическом) воздействии на них с целью изменения и управления их индивидуальным и коллективным поведением.

К информационному оружию, применение которого возможно как в военное, так и в мирное время, могут быть отнесены средства поражения информационных компьютерных систем и средства поражения людей (их психики).

Особенностью информационного оружия является то, что оно поражает мозг человека, разрушает способы и формы идентификации личности по отношению к фиксированным общностям, трансформирует матрицу памяти индивида, создавая личность с заранее заданными параметрами (типом сознания, искусственными потребностями, формами самоопределения и т. д.), удовлетворяющими требования агрессора, выводит из строя системы управления государствапротивника и его вооруженных сил.

http://spoisu.ru

Рыжков А.В.

Россия, Санкт-Петербург, Санкт-Петербургский государственный электротехнический университет «ЛЭТИ» им. В.И. Ульянова (Ленина)

СПОСОБ КОММУТАТИНВОГО ШИФРОВАНИЯ НА ОСНОВЕ ВЕРОЯТНОСТНОГО КОДИРОВАНИЯ ТОЧЕК ЭЛЛИПТИЧЕСКОЙ КРИВОЙ

Алгоритмы коммутативного шифрования (АКШ) используются для решения ряда специфических задач информационных технологий, таких как построение протоколов бесключевого шифрования, электронной жеребьевки, игры в покер по телефону. Использование вычислений на эллиптической кривой (ЭК) с целью выполнения процедур шифрования представляет интерес в связи с тем, что при правильном выборе ЭК обеспечивается экспоненциальная стойкость, что позволяет существенно уменьшить размер чисел, над которыми выполняются операции умножения по модулю, за счет чего повышается производительность алгоритмов шифрования.

При шифровании обычно предполагается, что любое сообщение, размер которого не превосходит некоторого заданного значения, может быть корректно зашифровано и расшифровано, т.е. на входные значения АКШ не накладывается ограничений. Данное требование трудно реализовать при разработке АКШ с использованием ЭК, заданных над конечными полями. Причиной этого является то, что координаты точек ЭК должны удовлетворять некоторому уравнению третьей степени, а значит не все пары значений соответствуют точкам ЭК.

Для решения этой задачи предлагается способ вероятностного кодирования точек ЭК, в котором шифруемое сообщение интерпретируется как часть абсциссы точки ЭК, к которой присоединяется оговоренное число случайных бит. Полученное значение принимается за абсциссу и проверяется существование точки ЭК с данным значением абсциссы. Если такой точки на используемой ЭК не существует, то генерируется новая случайная последовательность бит и проверка повторяется. Если такая точка существует, то вычисляется ее ордината. Задаваемые таким образом точки шифруются с помощью АКШ. Сообщение извлекается из расшифрованной точки путем удаления из значения ее абсциссы добавленного при шифровании числа бит.

Важным элементом при реализации предложенного способа является выбор достаточной длины присоединяемой битовой последовательности для обеспечения пренебрежимо малой вероятности следующих событий:

невозможно найти кодирующую точку для случайного сообщения

существует хотя бы одного сообщение заданной длины, которое невозможно закодировать точкой ЭК.

Верхняя оценка этой вероятности не превосходит значения произведения числа возможных сообщений и вероятности отсутствия кодирующей точки для одного сообщения.

При расчетах использовалось значение вероятности 0.5 того, что некоторый элемент поля является точкой ЭК (удовлетворяет уравнению ЭК). Эта достаточно точная приближенную оценка была получена при использовании двух различных подходов – на основе теоремы Хассе об эллиптических кривых, которая дает оценку числа точек ЭК и на основе факта, что ровно половина из элементов поля являются квадратичными вычетами. Проведенные вычисления для различных значений длины сообщения, присоединяемой битовой строки и порядка конечного поля показывают, что уже при добавлении 9 случайных бит значение вероятности невозможности закодировать хотя бы одно сообщение пренебрежимо мало. При этом размер абсциссы незначительно превосходит размер кодируемого сообщения.

Предложенный способ коммутативного шифрования может быть реализован с использованием ЭК произвольного вида. Наиболее удобными вариантами являются случаи использования простых полей GF(p) и двоичных полей GF(2^s) с достаточно большим значением степени расширения s.

При применении ЭК, заданных над двоичными полями несколько упрощается алгоритм вероятностного кодирования сообщений точками ЭК. Упрощение состоит в том, что устраняется разветвление этой процедуры в зависимости от значения сообщения.

Предложенный способ коммутативного шифрования на ЭК характеризуется применением процедуры вероятностного кодирования шифруемых сообщений точками ЭК. Получаемая криптограмма представляет собой точку ЭК, которая может быть представлена в сокращенном виде, когда указывается абсцисса этой точки и дополнительный бит, позволяющий однозначно вычислить ординату по известной абсциссе. Криптограмма имеет размер незначительно больший, чем размер исходного сообщения (на 7%). По сравнению с известными АКШ обеспечивается повышение быстродействия при одновременном повышении стойкости, причем обеспечивается экспоненциальная стойкость.

http://spoisu.ru

Соколов С. С., Карпина А. С., Башмаков А.В.

Россия, Санкт-Петербург, Государственный университет морского и речного флота имени адмирала С.О. Макарова ПОСТРОЕНИЕ СИСТЕМЫ ЗАЩИЩЕННОГО ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА В ТРАНСПОРТНО-ЛОГИСТИЧЕСКОМ КЛАСТЕРЕ

Транспортно-логистический кластер (далее - ТЛК) представляет собой административнотерриториальную единицу или совокупность административно-территориальных единиц, представленных в виде организаций или компаний, объединенных общностью интересов участников, конечным продуктом деятельности которых являются транспортно-логистические услуги в грузовом и (или) пассажирском секторах.

Для эффективной работы такой структурной единицы необходимо создание защищенного электронного документооборота. Для обеспечения юридической значимости документов, участвующих в электронном документообороте, следует использовать электронно-цифрую подпись. Которая так же является гарантом целостности, достоверности и средством аутентичности личности.

Для обеспечения безопасности передаваемых данных совершенно необязательно использование технологии VPN и защищенных каналов передачи данных.

В первую очередь, необходимо произвести категорирование всей информации, участвующей в документообороте. Далее следует создать изолированный центральный узел защищенного обмена, доступ к которому будет осуществляться по открытым каналам, доступным в каждой организации ТЛК. Следующим шагом надлежит произвести подбор сертифицированных программных средств, удовлетворяющих требованиям нормативно-правовых документов РФ. Использование таких средств делает абсолютно безопасной процедуру передачи документов по открытым каналам. Последним шагом будет создание собственных программных средств, использующих криптографические алгоритмы. Такие программные средства будут предназначаться для документов общего пользования, документов, несущих значимость для организаций, но порядок защиты которых не регламентируется законом.

Таким образом, создание и функционирование защищенного документооборота может осуществляться с помощью изолированного сервера, открытых каналов передачи данных, сертифицированных и не сертифицированных средств криптозащиты информации.

Соколова С.П., Абрамов Б.А.

Россия, Санкт-Петербург, Санкт-Петербургский государственный университет аэрокосмического приборостроения ВЫЧИСЛИТЕЛЬНАЯ ПАРАДИГМА МОНИТОРИНГА БЕЗОПАСНОСТИ КОМПЬЮТЕРНОЙ СЕТИ

Впоследнее время разработчики антивирусных и антишпионских программных продуктов не успевают оперативно вносить в свои базы сигнатуры всех разновидностей вредоносных программ. К указанным программам относится класс программ, предназначенных для выполнения различных несанкционированных пользователем действий, иногда направленных на причинение ущерба.

Врезультате любой пользователь, независимо от применяемого им антивирусного пакета, может столкнуться с тем, что на его компьютер попадет вредоносная программа.

Внастоящее время в корпоративной сети любого предприятия осуществлять поиск и исследование свежих семплов вредоносных программ вручную достаточно трудоемко. Следовательно, возникает необходимость в автоматизации процесса анализа информации, передаваемой по локальной и внешней сети на предмет ее вредоносности.

Вдокладе предложена структура, вычислительная парадигма автоматического мониторинга безопасности компьютерной сети.

При этом осуществляются: трассировка текстовых логов о работе сетевого экрана; классификация информации о выявленных потенциально вредоносных файлах; запись и хранение информации в базе данных; формирование информационной кубической матрицы за определенный период работы сетевого экрана. Анализ ее свойств, решение задач классификации

икластеризации, на основе интеллектуальных информационных технологий (нейрокомпьютинг, иммунокомпьютинг) и вывод о выявлении компьютерных угроз.

Предложена процедура адаптации математических моделей и вычислительных процедур для решения задач автоматического мониторинга безопасности локальной сети Ethernet. Исследованы ее свойства.

Разработанное демонстрационное программное обеспечение для решения задач по оценке состояния защищенности объектов информатизации и их сети, продемонстрировали эффективность решения поставленных задач.

http://spoisu.ru

Тесля С.П., Кузнецов С.И., Низовая Е.В.

Россия, Санкт-Петербург, Военная академия связи ОСНОВНЫЕ ПОЛОЖЕНИЯ ОРГАНИЗАЦИИ КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ НА ОБЪЕКТАХ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ

На фоне кардинального реформирования социально-экономических отношений в нашей стране, интегрирования в мировое экономическое общество вопросы обеспечения информационной безопасности приобретают актуальный характер, а защита информации становится одной из приоритетных государственных задач. Основой в решении данной задачи является защита информации от технических разведок, в том числе от утечки по техническим каналам.

Особый интерес для иностранной технической разведки представляют каналы утечки информации от вспомогательных технических средств и систем, имеющих выход за пределы контролируемой зоны. Контролируемая зона, это зона, в которой исключено нахождение лиц и транспортных средств, не имеющих постоянных или временных пропусков.

Взависимости от физической природы возникновения информационных сигналов, а также среды их распространения и способов перехвата, технические каналы утечки информации условно можно разделить на электромагнитные, электрические и параметрические.

Грамотно осуществленное электромагнитное экранирование является радикальным способом защиты информации от перехвата по радиотехническому каналу, но требует значительных капитальных затрат и регулярного контроля состояния экрана, кроме того, полное электромагнитное экранирование вносит дискомфорт в работу обслуживающего персонала.

Активная маскировка информационных излучений заключается в формировании и излучении в непосредственной близости от устройств вычислительной техники широкополосного шумового сигнала с уровнем, превышающим уровень информативных излучений.

Всистеме защиты объекта поисковые мероприятия выступают как средства обнаружения и ликвидации угрозы съема информации. Это направление является наиболее распространенным способом защиты. Комплексная задача, которая решается в процессе поисковых мероприятий - это определение состояния технической безопасности объекта, его помещений, подготовка и выполнение мер, исключающих возможность утечки информации.

Для построения эффективной системы защиты информации необходимо провести проверку и качественную оценку искусственных и естественных каналов утечки информации:

выявление естественных каналов заключается в определении потенциальной возможности перехвата информации из помещений объекта;

выявление искусственных (специальных) каналов заключается в обнаружении на объекте подслушивающих устройств и систем.

Одним из основных организационных мероприятий защиты является первоначальное категорирование объекта вычислительной техники при вводе его в строй.

Установленная категория определяет требования по размерам контролируемой зоны, размещению средств вычислительной техники, выбору средств технической защиты и нормам на параметры опасного сигнала.

Для проведения технического контроля необходимо использовать штатные средства инструментального контроля и средства, с помощью которых осуществляется пересчет возможностей технических средств разведки по получению информации.

Контроль защищенности информации на объекте вычислительной техники проводится с целью своевременного предупреждения возможности получения противником конфиденциальных сведений

сиспользованием технических средств перехвата информации, выработки рекомендаций и предложений по защите.

Тиамийу О.А.

Россия, Санкт-Петербург, Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А.Бонч-Бруевича УПРАВЛЕНИЕ ТРАФИКОМ ПРИ МЕХАНИЗМЕ ДОВЕРЕННОЙ МАРШРУТИЗАЦИИ

Под механизмом доверенной маршрутизации (ДМ) понимается запланированная передача данных через маршрутизирующие оборудования (МО), исключающая возможность подмены, модификации или внедрения информации в потоки данных. Данный механизм основан на двух механизмах защиты – управление маршрутизацией и доверенная функциональность, описанных в ГОСТ Р ИСО 7498-2-99.

В глобальных телекоммуникационных сетях (ГТКС) для ДМ получить маршрут можно, когда существуют уже некоторое количество доверенного МО (ДМО). Такое оборудование в вырожденной сети может быть обеспечено путем внедрения в IOS МО программных модулей (ПМ), позволяющих получить полный контроль над МО – и, таким образом, преобразовать недоверенное оборудование в доверенное. Методами трассировки прохождения пакета (например, с помощью опций IP-пакета или ICMP-запросов) и получения маршрутно-адресной таблицы (МАТ) МО (например, с помощью

http://spoisu.ru

протокола BGP или SNMP) с последующей их записью в базу данных (БД) можно вычислить доверенный маршрут аналитическим путем. Таким образом, после решения проблемы IP-алиасов, будет определен хотя бы один доверенный маршрут от отправителя к получателю

Кроме аналитического нахождения доверенного маршрута, можно воспользоваться модифицированным алгоритмом Дейкстры, позволяющим составить доверенный маршрут, исключив при этом недоверенное МО.

Получив доверенный маршрут необходимо обеспечить прохождение пакетов именно по нему (то есть принудительно произвести маршрутизацию данных), чтобы иметь возможность контролировать прохождение пакетов. Управление трафиком при передаче данных от отправителя к получателю осуществляется с помощью менеджера ДМ (МДМ), установленного на компьютере (ПК, сервере и т.п.) у отправителя; менеджер посылает управляющие сигналы в ПМ. Последний, являющийся агентом ДМ (АДМ), запрашивает у МДМ доверенный маршрут до IP-адреса назначения пакета из БД. Если такой маршрут существует, АДМ перенаправляет пакет, пользуясь полученным маршрутом. В случае отсутствия доверенного маршрута, в МДМ запускается процесс идентификации

ипреобразования недоверенных МО в ДМО (в особенности, расположенных вдоль маршрутов к получателю) с последующим их добавлением в БД для дальнейшей обработки и использования в механизме ДМ. При отсутствии доверенного маршрута и невозможности получения такового, соответствующее сообщение посылается в МДМ. Контроль состояния ДМО необходим для подтверждения активности и действительности доверенного маршрута; в частности, осуществляется проверка неизменности самого АДМ в МО. В ином случае у МДМ будет запрошен новый доверенный маршрут.

Стек протоколов TCP/IP осуществляет гарантированную доставку пакетов между отправителем

иполучателем, поэтому в интересах уменьшения нагрузки на сеть и повышения скорости передачи информации дополнительных мер для данного контроля не требуется. В практике сетевого администрирования принято, что сетевое устройство работоспособно, если в ответ на ICMP-запрос от него приходит ICMP-ответ. Однако при механизме ДМ необходимо, помимо ICMP-запросов, периодически проверять наличие и достоверность АДМ в IOS МО.

АДМ играет очень важную роль в управлении трафиком при механизме ДМ. Именно он осуществляет выполнение необходимых действий согласно управляющим сигналам от МДМ. Так, к задачам АДМ относятся следующие: посылка результатов работы, идентификация себя для МДМ с целью дальнейшей обработки и хранения в БД, перехват входящих в ДМО пакетов, их проверка на соответствие установленным требованиям и, при необходимости, перенаправление трафика.

МДМ осуществляет контроль прохождения трафика путем создания защищенного канала связи для дистанционного управления и контроля МО, формирования и передачи команд управления АДМ

вМО, выявления конкретного маршрута. Также для выявления транзитных МО, находящихся вне контролируемого сегмента сети, осуществляется сбор информации из МАТ. Кроме того, МДМ хранит получаемую информацию в БД, обрабатывает данные о маршрутах, осуществляет географическую привязку МО, имеет графический интерфейс для отображения результатов определения маршрута прохождения трафика, формирует и выводит отчеты о маршрутах прохождения трафика.

Связь между МДМ и АДМ осуществляется с помощью BCCH (Backup Control Channel резервный канал контроля), обеспечивающего скрытое удалённое управление (с обратной связью) внедрёнными АДМ.

Управление трафиком при механизме ДМ позволяет обеспечить безопасную передачу данных через ГТКС, избежав возможности подмены, модификации или любой другой атаки на передаваемые данные, что гарантирует их конфиденциальность и целостность.

Фаткиева Р.Р.

Россия, Санкт-Петербург, Санкт-Петербургский институт информатики и автоматизации РАН МОДЕЛИРОВАНИЕ НЕСАНКЦИОНИРОВАННЫХ ВОЗДЕЙСТВИЙ НА КОМПЬЮТЕРНЫЕ СЕТИ

Исследование интенсивности поступления пакетов сетевого трафика показали, что существует зависимость интенсивности от структурной схемы (количество структурных единиц, составляющих систему, наличием связей между единицами), алгоритмов заложенных в работе (алгоритмов программного и прикладного обеспечения, в том числе и наличия ошибок в программном коде) и количества информации циркулирующей в тот или иной момент времени. При этом микровзаимодействия сетевого трафика со структурными элементами компьютерной сети приводит к множеству локальных состояний и изменению характеристик на макроуровне. Обменные взаимодействия между элементами имеют как случайную, так и детерминированную составляющие, в зависимости от возможности внесения изменений в отдельные процессы обмена. Как при отсутствии, так и при присутствии обратной связи или возможности внесений изменений, процесс может приобрести случайный характер. Не всегда при наличии обратной связи имеется возможность преобразования случайной составляющей, вносимой в сетевой трафик в детерминированную форму. Поэтому можно сказать, что существует два уровня: уровень стохастических

http://spoisu.ru

межэлементарных взаимодействий и уровень детерминированных характеристик поведения системы в целом. В зависимости от физических гипотез о пребывании элементов компьютерной сети в том или ином состоянии получаются различные функции распределения интенсивности поступления пакетов. В традиционных моделях сетевого трафика аналитические модели в основном строятся в предположении его стационарности. Однако на практике данное предположение не всегда приемлемо, силу нелинейности процессов происходящих в вычислительных сетях. При этом остается актуальной проблема идентификации трафика генерируемого законными пользователями при увеличении интереса к ресурсу информационной сети от трафика, генерируемого атакой. Прогнозирование поведение компьютерной сети при неправильно подобранной функции распределения интенсивности поступления пакетов приводит к тому, что использование традиционных методов расчета параметров вероятностно-временных характеристик, дает неоправданные результаты, приводящие к недооценке нагрузки при осуществлении несанкционированного воздействия.

Для описания трафика в компьютерных сетях наиболее широко применяется распределение Парето. Кроме того, для трафика определенных приложений ограниченно используются распределения Вейбулла, логнормальное и пуассоновское. Анализ плотностей распределения показал, что при атаке поступление пакетов не подчиняется нормальному закону распределения и влияет на основные параметры загрузки основных подсистем информационновычислительной системы. Для проведения анализа были построены гистограммы измеряемых величин в штатном режиме работы и при наличии атак класса TCP-flood. Визуальный анализ полученных гистограмм показал, что основные характеристики подсистем меняют свои средние значения в большую сторону.

Анализ поведения информационновычислительной системы при появлении класса атак flood показал, что можно непосредственно наблюдать изменения как самой кривой распределения интенсивности поступления пакетов, так и статистических распределений ряда характеристик. К примеру, гистограмма характеристики отношения поступления входящего трафика к исходящему, уровня загрузки процессора и оперативной памяти при появлении SYN-flood координально изменяет вид.

Оценивая проведенные исследования можно предположить, что наличие множества представленных в литературе функций распределения при оценке сетевого трафика связано с тем, что информационно-вычислительные системы являются динамическими по составу и изменение состояние системы влечет за собой изменение функции распределения той или иной характеристики.

Работа выполнена при поддержке «ИнфоТеКС Академия 2013-2014

Федорченко А.В.

Россия, Санкт-Петербург, Санкт-Петербургский институт информатики и автоматизации РАН МЕТОДЫ ИНТЕГРАЦИИ БАЗ УЯЗВИМОСТЕЙ ДЛЯ УЛУЧШЕНИЯ АНАЛИЗА ЗАЩИЩЕННОСТИ КОМПЬЮТЕРНЫХ СИСТЕМ

В настоящее время в области безопасности компьютерных систем большое внимание уделяется анализу их защищенности, который является перспективным способом прогнозирования возникновений инцидентов нарушения безопасности заблаговременно до активных действий потенциального злоумышленника. Под компьютерными системами в данном случае понимается как отдельные вычислительные установки, так и сеть передачи информации, которую они могут образовать в составе локального и (или) глобального сегмента.

Анализ безопасности компьютерных сетей включает следующие фазы работы: (1) сбор и анализ статических системных характеристик (архитектур, топологий и всевозможных свойств, закладываемых на этапе проектирования и разработки); (2) сбор и корреляция динамических характеристик (события безопасности, изменяемые элементы и свойства); (3) моделирование угроз нарушения безопасности различных уровней и проверка реагирования системы на «внешние раздражители»; (4) обработка полученных результатов и принятие решения о степени защищенности.

К одному из способов оценки защищенности относится поиск наличия уязвимостей в программно-аппаратном обеспечении, используемом в исследуемой компьютерной системе. Конкретные продукты в составе системы образуют конфигурацию программно-аппаратного обеспечения, которая является динамически изменяемой характеристикой. Таким образом, на основе определения степени риска нарушения безопасности при эксплуатации уязвимостей для заданной конфигурации продуктов становится возможным произвести оценку защищенности системы.

Наличие уязвимостей в каждом продукте, установленном в системе, определяется с помощью открытых баз уязвимостей, составляемых различными организациями и сообществами. В свою очередь, увеличить точность обнаружения уязвимостей по заданному списку программноаппаратного обеспечения предлагается за счет использования сразу нескольких открытых баз уязвимостей. В ходе работы в исследуемых базах уязвимостей были выявлены необходимые элементы для качественного анализа защищенности компьютерных систем и разработаны методы интеграции записей уязвимостей и записей продуктов.

http://spoisu.ru

Предлагаемые методы основываются на пересечении множеств уязвимостей по ссылкам на идентификаторы записей используемых баз и объединении множеств продуктов по совпадающим элементам имен записей в формате CPE версии 2.2 (имя производителя, имя продукта, версия, редакция и модификация). Соответственно, результатом реализации данных методов являются интегрированный список уязвимостей и интегрированный словарь продуктов, которые входят в состав интегрированной базы данных уязвимостей. Для проверки эффективности методов интеграции был разработан прототип интегрированной базы уязвимостей, в состав которой вошли следующие открытые источники: CVE; NVD; CPE; OSVDB; X-Force. Результаты проведенных над прототипом экспериментов показали превосходство разработанной базы над используемыми базами по количеству записей уязвимостей и записей продуктов, а так же допустимое время формирования списка уязвимостей для случайной входной конфигурации программно-аппаратного обеспечения. Успешная реализация предлагаемых методов интеграции баз уязвимостей позволяет в дальнейшем использовать их в анализе защищенности компьютерных систем.

Работа выполняется при финансовой поддержке РФФИ (13-01-00843, 13-07-13159, 14-07-00697, 14-07-00417), программы фундаментальных исследований ОНИТ РАН (контракт №2.2), проекта ENGENSEC программы Европейского Сообщества TEMPUS и государственного контракта №14.604.21.0033.

Федорченко А.В.

Россия, Санкт-Петербург, Санкт-Петербургский институт информатики и автоматизации РАН ОБЗОР МЕХАНИЗМОВ КОРРЕЛЯЦИИ СОБЫТИЙ БЕЗОПАСНОСТИ В SIEM СИСТЕМАХ

Сегодня, перспективным средством защиты информации является системы управления информацией о безопасности и событиях безопасности (Security Information and Event Management, SIEM), представленные на рынке большим количеством коммерческих продуктов.

По своей сути, SIEM система – это гибрид системы управления информацией о безопасности (Security Information Management, SIM), представляющей средство хранения получаемых данных, и системы управления событиями безопасности (Security Event Management, SEM), являющейся инструментом обработки (корреляции) всех событий, которые поступают в качестве входных данных от всевозможных сенсоров (датчиков). Такими датчиками могут быть: системы обнаружения вторжений, системы предотвращения вторжений, антивирусы, межсетевые экраны и прочие средства компьютерной защиты. Таким образом, для полноценного функционирования SIEM системы важной функцией является корреляция событий безопасности.

По виду входных данных, методы корреляции можно разделить на два класса: (1) микрокорреляцию, которая связывает несколько событий только от одного источника (сенсоров одной системы); (2) макро-корреляцию, реализующую сопоставление событий от множества различных "информаторов".

В свою очередь, по типу результирующей функции механизмов корреляции, в основном выделяют следующие методы: (1) сигнатурные методы, к которым относятся все способы поиска связей между событиями по заранее заданным правилам (rule based), указанным администратором безопасности; (2) несигнатурные методы, которые применяют технологии самообучения и основаны в основном на статистическом анализе данных; (3) гибридные методы, объединяющие сигнатурные и несигнатурные. Как правило, в программных реализациях, применяемых на практике, не используются только один метод, либо методы одного вида – обычно прибегают к корреляции сразу несколькими гибридными методами.

Углубленная классификация механизмов корреляции дает понять, что их существует огромное количество, а их экспериментальная эффективность уже оценена экспертами в данной области. Стоит отметить, что всевозможные механизмы довольно разносторонни, например одни используют построение векторов в заранее построенной матрице событий, другие основаны на представлении модели в виде объектов, третьи активно используют визуализацию, для наиболее удобного отображения текущего состояния системы, чтобы администратор мог оперативно и правильно принять решение.

Однако, в практическом смысле, пока не существует таких методов, которые могли бы эффективно применяться без участия человека. Данная проблема в настоящее время является открытой и активно исследуется мировым сообществом.

По результатам дальнейшего анализа имеющихся механизмов корреляции событий безопасности, планируется разработать сложный гибридный метод, который будет превосходить наиболее популярные методы и коммерческие решения по точности и (или) оперативности.

Работа выполняется при финансовой поддержке РФФИ (13-01-00843, 13-07-13159, 14-07-00697, 14-07-00417), программы фундаментальных исследований ОНИТ РАН (контракт №2.2), проекта ENGENSEC программы Европейского Сообщества TEMPUS и государственного контракта №14.604.21.0033.

http://spoisu.ru

Халиуллин Р.А.

Россия, Санкт-Петербург, Санкт-Петербургский государственный политехнический университет ИСПОЛЬЗОВАНИЕ МЕТОДОВ ТЕОРИИ ИГР ДЛЯ ОБНАРУЖЕНИЯ

АДАПТИВНОГО ВРЕДОНОСНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

Степень защищенности ОС антивирусным ПО регулируется множеством параметров антивирусного ПО. Как правило, значения параметров хранятся в системном реестре ОС, конфигурационных файлах в виде, позволяющем получить значения параметров с помощью стороннего ПО. Системы самозащиты, реализованные в антивирусном ПО защищают от модификации значений параметров, но не защищают от чтения значений параметров. Данное обстоятельство приводит к угрозе защищенности ОС со стороны адаптивного вредоносного ПО. Адаптивное вредоносное ПО регулярно считывает значения параметров антивирусного ПО и изменяет алгоритм поведения в зараженной ОС в соответствии с текущими параметрами антивирусного ПО. Изменение алгоритма поведения позволяет вредоносному ПО длительное время функционировать в зараженной ОС, адаптируясь к изменению параметров антивирусного ПО. Установка значений антивирусного ПО на максимальные значения не является эффективным методом борьбы с адаптивным вредоносным ПО, так как в этом случае снижается функциональность ОС и увеличивается потребление системных ресурсов для потребностей антивирусного ПО. В настоящее время не существует оптимальных методов противодействия адаптивному вредоносному ПО. Предлагается использовать метод борьбы с адаптированным вредоносным ПО, использующий

Игроком 1 является адаптивное вредоносное ПО, которое регулярно считывает значения настроек антивирусного ПО и изменяет алгоритм поведения в соответствии с текущими значениями параметров антивирусного ПО. Игроком 2 является антивирусное ПО, задачей которого является обнаружение и противодействие адаптивному вредоносному ПО. Элементы декартового

произведения X Y (т. е. пары стратегий x, y , где x X и y Y ) – называются ситуациями, а функция K – функция выигрыша игрока 1. Выигрыш игрока 2 в ситуации x, y полагается равнымK x, y ; поэтому функция K также называется функцией выигрыша самой игры , а сама игра

– игрой с нулевой суммой. Таким образом, используя принятую терминологию, для задания игры

необходимо определить множества стратегий X , Y игроков 1 и 2, а также функцию выигрыша K , заданную на множестве всех ситуаций X Y .

Чернов А.Ю., Зегжда Д.П.

Россия, Санкт-Петербург, Санкт-Петербургский государственный политехнический университет РЕАЛИЗАЦИЯ ДОВЕРЕННОЙ ЗАГРУЗКИ С ПОМОЩЬЮ ТЕХНОЛОГИИ ВИРТУАЛИЗАЦИИ

В сфере обеспечения информационной безопасности компьютерных систем большое внимание уделяется защите персональных и конфиденциальных данных. Как правило, стандартная реализация средств защиты представляет собой программно-аппаратный комплекс. Программная компонента обеспечивает необходимые механизмы защиты в процессе работы пользователя с персональным компьютером и работает под управлением предустановленной операционной системы. Зависимость от функционирования предустановленной операционной системы является слабым местом всех программных средств защиты. Обход такой защиты возможен при загрузке сторонней операционной системы с внешнего носителя: CD, DVD, USB-накопителя и т.д. Для предотвращения угрозы недоверенной загрузки используется аппаратная компонента. В большинстве случаев, такой компонент представляет собой PCI-устройство встраиваемое непосредственно в системный блок защищаемого персонального компьютера. Аппаратная часть реализует механизмы контроля целостности, идентификации и аутентификации, а также предотвращает запуск сторонней программной среды с отчуждаемых носителей. Внедрение аппаратных средств должно сопровождаться рядом мер, пресекающих физический доступ к системному блоку компьютера. Сбой аппаратной части защиты ведет к прямой угрозе несанкционированного доступа к конфиденциальной информации.

Так как еще не запущена основная операционная система, то считается, что программным образом защититься от угрозы недоверенной загрузки достаточно сложно и трудоемко. Для этого необходимо разрабатывать модуль защиты, запускающийся до старта системы. Единственным местом куда возможно внедрить программные средства защиты является BIOS материнской платы.

http://spoisu.ru

Одним из способов реализовать программный механизм доверенной загрузки в BIOS, является использование технологии виртуализации. Сегодня технология виртуализации развивается стремительными темпами, начиная от десктопных приложений, таких как VMWare Workstation, и заканчивая облачными вычислениями. Эта технология открывает широкие возможности не только в области предоставления услуг и ресурсов, но и в области информационной безопасности. В рамках рассматриваемой задачи, внедрение гипервизора в BIOS материнской платы позволит получить доступ ко всей системе, включая оборудование на ранней стадии загрузки. В свою очередь, это позволит контролировать весь дальнейший процесс загрузки, а также работу ОС. Так одним из вариантов полезной нагрузки гипервизора для предотвращения недоверенной загрузки может быть контроль подключаемого оборудования:

Применение технологии виртуализации, по сравнению с обычными АПМДЗ, имеет ряд преимуществ:

Нет необходимости изменять аппаратную конфигурацию компьютера. Весь код будет содержаться в SPI FLASH памяти на материнской платы.

Нет прямого вмешательства в процесс загрузки. Стандартные АПМДЗ реализуют перехват прерывания int 19h – начальный загрузчик системы.

Сложность обхода. Так как код гипервизора находится непосредственно в коде BIOS, то механизмы защиты функционируют на ранних стадиях загрузки системы совместно с BIOS, что усложняет задачу внедрения вредоносных средств. Также деструктивные воздействия могут повлечь за собой неработоспособную систему, восстановление которой возможно только в заводских условиях.

Сложность отключения. Единственным способом отключить защиту является перепрошивка BIOS специальными программаторами. Стандартные программы прошивки будут бесполезными, так как код BIOS загружается первым, соответственно и гипервизор.

Гибкое управление окружением ОС: устройствами, оперативной памятью, процессором. Это может быть полезным для обработки конфиденциальных данных, например, можно ограничить работу с usb-накопителями только для чтения, при этом невозможно будет скопировать какую-либо информацию на накопитель.

Прозрачность. Для операционной системы гипервизор будет абсолютно прозрачен и не будет влиять на ее функционирование прямым образом. Обнаружение гипервизора достаточно нетривиальная задача и по внешним признакам невозможно определить наличие гипервизора уровня

BIOS.

В отличие от простого модуля расширения BIOS, гипервизор уровня BIOS позволяет контролировать систему не только на этапе загрузки, но и в процессе работы операционной системы. При правильном описании модели нарушителя и его целей, гипервизор может выступать в качестве системы обнаружения вторжений, анализируя поведение пользователя.

Черняков А.В.

Россия, Санкт-Петербург, Государственный университет морского и речного флота имени адмирала С.О. Макарова АНОНИМНЫЕ СЕТИ «ЛУКОВОЙ» И «ЧЕСНОЧНОЙ» МАРШРУТИЗАЦИИ

Повсеместное распространение компьютерных сетей выводит на передний план вопросы защиты личных интересов граждан. Наряду с фундаментальным правом человека на неприкосновенность частной жизни, указанным во Всеобщей декларации прав человека, существует множество аспектов личных взаимоотношений, разглашение которых может принести неудобства или вред личности. Из-за большого количества средств вычислительной техники, принадлежащих разным людям и объединённых в единое медиа-пространство, контроль за конфиденциальностью этих данных усложняется. Одним из наиболее популярных методов несанкционированного сбора информации является перехват пользовательского траффика в сетях общего пользования. Варианты реализации этой угрозы многочисленны: от установки специального оборудования, до оказания давления на операторов сети.

Чтобы исключить возможность реализации этой угрозы, применяются различные технические методы, в том числе возведение дополнительных уровней защиты поверх существующих сетей общего пользования. Одним из методов является построение анонимных сетей, основанных на принципе прокси.

Основным отличием таких сетей от выстраивания цепочек из прокси является то, что сервера в цепочке передачи не знают ни об отправителе данных, ни о получателе, только о предыдущем и следующим серверами в цепочке. Это достигается за счет использования криптографии и собственных протоколов маршрутизации. На данный момент наибольшее распространение получили сети, основанные на так называемых «луковых» и «чесночных» маршрутизаторах.

Название своё они получили благодаря методам перенаправления сообщений. В «луковых» сетях оригинальный пакет шифруется открытыми ключами всех маршрутизаторов, используемых в

http://spoisu.ru

цепочке, по очереди, согласно порядку их следования. При получении такого пакета, промежуточный маршрутизатор расшифровывает его своим закрытым ключом, в результате чего получает инструкции о следующем сервере в цепочке и зашифрованное сообщение следующего уровня, предназначающееся следующему маршрутизатору. Минусами такой организации являются централизованность сети и открытость исходного трафика оконечным маршрутизаторам.

«Чесночные» сети являются потомком «луковых». Главными отличиями являются децентрализованность сети, метод формирования зашифрованного контейнера и отсутствие узлов двустороннего обмена. В этих сетях перед установкой соединения формируется маршрут и шифруется пользовательский пакет, затем передается на маршрутизатор сети, который собирает все пришедшие от пользователей пакеты в единую посылку, шифруемую и направляемую к следующему маршрутизатору. Полученный на следующем шаге пакет с меньшими пользовательскими посылками расшифровывается и либо распределяется между адресатами, подключенными к этому маршрутизатору, либо собирается новый пакет для следующего маршрутизатора.

Представленные методы не гарантируют полной безопасности и анонимности, но они делают задачу отслеживания сообщений и перехвата трафика гораздо более сложной.

Чечулин А.А., Комашинский Д.В.

Россия, Санкт-Петербург, Санкт-Петербургский институт информатики и автоматизации РАН РЕШЕНИЕ ЗАДАЧИ КЛАССИФИКАЦИИ САЙТОВ НА ИНОСТРАННЫХ ЯЗЫКАХ В СЕТИ ИНТЕРНЕТ

Внастоящее время Интернет является одним из основных способов получения информации. Отсутствие эффективных механизмов, классифицирующих информацию и регулирующих доступ к ней в сети Интернет, создает проблему получения нежелательной, сомнительной и вредоносной информации. В первую очередь, это касается необходимости ограничения доступа к определенным видам информации по возрастным категориям. Кроме того, ограничение автоматической загрузки сайтов, принадлежащих к категориям повышенного риска (например, категории “сайты для взрослых”, “сайты с нелицензионным программным обеспечением” и т.д.), повысит защищенность пользователей от вредоносных и нежелательных программ.

Одной из важных задач является классификация сайтов на разных языках, так как модели классификаторов не могут быть эффективно обучены распознавать языковые особенности одновременно для многих языков. В данной работе рассмотрен подход, позволяющий свести задачу классификации сайтов на иностранных языках (т.е. отличных от английского) к задаче классификации англоязычных сайтов.

Для категоризации сайтов на иностранных языках было предложено использовать перевод текстового содержимого сайта с языка оригинала на язык, использовавшийся для обучения классификаторов. Данный подход имеет следующие преимущества:

нет необходимости подготавливать дополнительные классификаторы для категоризации сайта по определенному языку, что снимает необходимость подготовки дополнительных обучающих наборов данных и дальнейшего поддержания их в актуальном состоянии;

с использованием моделей, обученных по определенным категориям, подход позволяет классифицировать веб-сайты, содержащие контент, на практически любом языке, без существенных дополнительных усилий.

Всвою очередь, использование классификаторов, настроенных на конкретный язык, позволит использовать различные грамматические конструкции для обучения, что поможет улучшить качество классификации.

Для классификации веб-сайтов на иностранных языках необходима корректировка лишь первых этапов подготовки файлов из тестового набора данных. После загрузки контента с сайтов на иностранном языке, производится его перевод на язык, использовавшийся для обучения классификаторов, на основе средств машинного перевода. В частности, машинный перевод осуществлялся с помощью программы Promt 7. Далее этапы классификации веб-сайтов аналогичны этапам, выполняемым при классификации сайтов на языке, применявшимся для обучения классификатора.

Для проверки качества классификации сайтов на иностранных языках при использовании предложенного подхода было выполнено тестирование, включающее два этапа:

тестирование выборки, переведенной заранее с помощью Promt 7;

тестирование качества классификации веб-сайтов «на лету» с помощью онлайн сервиса Яндекс.Перевод.

Для классификации применялась модель, которая была обучена с использованием категории adult_en. Сайты категорий adult_de (категория adult на немецком языке) и adult_fr (категория adult на французском языке) были переведены и поданы на вход классификатору как тестовая выборка.

Тестирование классификации сайтов на иностранных языках с помощью онлайн сервиса Яндекс.Перевод имело следующие особенности. Язык оригинала определялся автоматически. Для

http://spoisu.ru