Характеристика, классификация и варианты применения ложных информационных систем, служащих для реализации механизмов введения в заблуждение злоумышленника с целью затруднения и препятствовании атакам. Алгоритм эмуляции файловых ресурсов и узлов ИВС.
Аннотация к работе
Необходимость обеспечения информационной безопасности требует поиска качественно новых подходов к решению многих технических и управленческих задач, связанных с использованием информационной сферы как совокупности информационных ресурсов и информационной инфраструктуры. Несмотря на значительные результаты теоретических и прикладных исследований в области защиты информации в информационно-вычислительных системах, в частности криптографическими методами, резервированием, методами контроля межсетевого взаимодействия и т. п., недостаточно проработанной остается проблема защиты ИВС, подключенных к сетям связи общего пользования.На верхнем уровне детализации - совокупностью прикладных процессов, посредством которых производится содержательная обработка информации, а также правилами обмена информацией в интересах взаимосвязи прикладных процессов. Структурная модель угроз информации в ИВС представлена на рис. Уровень физической сети (линий связи, первичной сети связи) описывает функции и правила взаимосвязи при передаче различных видов информации между территориально удаленными элементами ИВС через физические каналы связи (первичную сеть). Уровень транспорта пакетов сообщений описывает функции и правила обмена информацией в интересах взаимосвязи прикладных процессов и пользователей различных ИВС. Информационная инфраструктура локальных вычислительных сетей (ЛВС), из которых состоит каждый невырожденный (в автономную ПЭВМ) локальный сегмент ИВС, традиционно состоит из рабочих станций, имеющих отчуждаемые и неотчуждаемые носители информации, концентраторов (многопортовых повторителей), мостов, коммутаторов и маршрутизаторов локальных сетей (коммутаторов третьего уровня).В целом, защиту ИВС можно разделить на два направления (рис. 1.3): защита непосредственно обрабатываемой и хранимой в ИВС информации и защита элементов ИВС. Как показано на рисунке, первое направление защиты имеет своей целью блокировать возможность НСД к передаваемой, хранимой и обрабатываемой в ИВС информации, и реализуется путем управления доступом к ней. Реализуется это направление обеспечением антивирусной защиты и защиты от НСД, включающей выполнение следующих функций: разграничение доступа; Исходя из того, что любая атака должна иметь три этапа реализации (1. предварительный сбор сведений об объекте атаки и его уязвимых местах, выбор метода атаки; 2. непосредственно реализация атаки; 3. заметание следов атаки), СОА также принято классифицировать по этапу реализации атак, на котором происходит их обнаружение.Примером камуфляжа можно назвать использование Unix-подобного графического интерфейса в системе, функционирующей под управлением операционной системы (ОС) Windows, приводящее к тому, что злоумышленник, случайно увидевший такой интерфейс, будет пытаться реализовать атаку, использующую уязвимости ОС Unix, а не ОС Windows. В качестве примера дезинформации можно назвать использование заголовков (banner), позволяющее сформировать у злоумышленника ложное представление о системе. Например, подмена в заголовке почтовой программы, ее названия и версии, которые дают злоумышленнику представление об уязвимостях системы, приводят к тому, что злоумышленник потратит много времени и сил в бесполезных попытках реализовать эти уязвимости. За время, необходимое злоумышленнику на то, чтобы проверить все обнаруженные уязвимости, в т.ч. и фиктивные, администратор безопасности имеет возможность предпринять действия по установлению внутреннего нарушителя или сбору информации о внешнем злоумышленнике и предпринять соответствующие меры, например, сообщить об атаке в соответствующие "силовые" структуры. Именно потому, что такие системы дают возможность злоумышленнику выполнить те действия, которые он хочет, эти системы относят к ЛИС высокого уровня взаимодействия.Поддерживаются наиболее распространенные методы исследования систем, предоставлена возможность программирования поведения ложного сервиса с имитацией какого-либо вида уязвимости. Существенный недостаток - открывает порт 365 (deception port), который позволяет идентифицировать систему как ЛИС. В развитие пакета DTK автором была разработана улучшенная версия - DTK-Pro, которая, реализуя все возможности DTK, дополняет его новыми механизмами: управление несколькими DTK, установленными на разных хостах сети; При попытке установить соединение ЛИС Fakebo проводит трассировку (определение маршрута) хоста, откуда исходит запрос, и сохраняет данные обо всех попытках установить соединение, выдавая злоумышленнику предупреждающее сообщение о регистрации его действий. Программа позволяет создавать виртуальные хосты в сети (теоретически до 65 535 виртуальных хостов с одного физического адреса).Классификацию ложных информационных систем следует производить по четырем основным признакам (схема классификации ЛИС приведена на рис. Отдельно от целевых АС и параллельно с ними могут быть ЛИС предназначенные для отвлечения сил и дезинформации злоумышленников, сбора сведений о них, изучения методов поведения атак, обнаруже
План
СОДЕРЖАНИЕ
ВВЕДЕНИЕ
1. АНАЛИЗ УСЛОВИЙ ФУНКЦИОНИРОВАНИЯ СОВРЕМЕННЫХ ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ
1.1 Структура типовой ИВС. Структурная модель угроз информации в ИВС
1.2 Анализ современных подходов к защите ИВС
1.3 Анализ ЛИС, применяемых в современных ИВС. Характеристики, классификация и варианты применения
1.3.1 История развития ЛИС и средств их создания
1.3.2 Анализ известных программных ЛИС
1.3.3 Классификация ЛИС
1.3.4 Варианты применения современных ЛИС
1.4 Роль и место ЛИС в защите ИВС. Постановка задачи
Выводы по разделу
2. РАЗРАБОТКА АЛГОРИТМОВ ЗАЩИТЫ ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ МЕТОДАМИ ВВЕДЕНИЯ НАРУШИТЕЛЕЙ В ЗАБЛУЖДЕНИЕ
2.1 Методы введения нарушителей в заблуждение
2.2 Алгоритмы функционирования ЛИС
2.2.1 Алгоритм эмуляции узлов ИВС
2.2.2 Алгоритм эмуляции прикладных систем
2.2.3 Алгоритм эмуляции файловых ресурсов
2.3 Разработка требований к реализации базовых функций ЛИС