Скрытые каналы передачи данных. Метод противодействия утечке информации по скрытым каналам, основанным на изменении длин передаваемых пакетов когос константин григорьевич

Алексей Галатенко

Прежде чем ввести вас в курс дела, я хочу, чтобы вы поклялись в том, что все останется между нами.
Р. Стаут. "Если бы смерть спала"

Оправдания

Не имея личного опыта по части того, что происходит в приютах похоти, я не мог считаться экспертом в этой области.
Р. Стаут. "Слишком много клиентов"

Автор не является экспертом в области скрытых каналов и прекрасно осознает это. Данную статью он рассматривает как еще одну попытку убедить себя и, если повезет, читателя в продуктивности подхода к проблемам информационной безопасности с позиций технологии программирования, в необходимости рассматривать программно-технический уровень безопасности в общем контексте информационных технологий.

К истокам Чем выше ум, тем тень длиннее ляжет,Отброшенная им на дальний мир.Р. Браунинг. "Парацельс"В статьях и обзорах, посвященных скрытым каналам, обычно пишут, что этот термин введен в работе Лэмпсона . Важно отметить, однако, что Батлер Лэмпсон упоминает о скрытых каналах как бы между делом, не они являются предметом исследования. Его трехстраничная заметка называется "О проблеме ограничения" ("A Note on the Confinement Problem") и посвящена она, выражаясь современным языком, контролируемому выполнению (недоверенных) программ с целью помешать им организовать утечку конфиденциальной информации.Идея дополнительного ограничения действий, которые разрешается выполнять программе, (помимо применения имеющихся в операционной системе механизмов контроля доступа), является исключительно важной и глубокой, опередившей свое время. По сути Лэмпсон пунктиром обозначил будущие модели безопасности для Java-аплетов — от "песочницы" до контроля по стеку вызовов, причем сделал это на 25 лет раньше разработчиков Java (заметка была сдана в редакцию в июле 1972 года, а по ссылкам видно, что он занимался проблемами динамической защиты еще в 1960-е годы).Лэмпсон рассматривает следующую задачу. Пусть клиент вызывает некоторый сервис, передавая ему в качестве параметров конфиденциальную информацию, утечка которой нежелательна. Спрашивается, как следует ограничить поведение произвольного сервиса? (В 1972 году сервис представлял собой процедуру, вызываемую из клиентской программы; о распределенных архитектурах речь не шла, но многопроцессные конфигурации были обычным явлением.)Подчеркнем, что речь идет о создании "песочницы" для произвольной программы. Если ограничения окажутся нарушенными, выполнение сервиса должно аварийно завершаться.Чтобы понять характер налагаемых ограничений, Лэмпсон сначала исследует возможные каналы утечки информации, выделяя следующие:Если у сервиса есть память, он может сохранить клиентскую информацию, дождаться, когда его вызовет хозяин, и передать тому сохраненную информацию;Сервис может записать информацию в постоянный файл в каталоге хозяина; Сервис может создать временный файл (что само по себе вполне законно: как же без временных файлов?); хозяин может периодически проверять его (файла) существование и прочитать информацию прежде, чем сервис завершит работу и удалит все временное; Сервис может послать сообщение процессу, контролируемому хозяином;Сервис может закодировать информацию в счете за свои услуги, поскольку хозяин должен получить копию этого счета; ограничения на формат счета способны свести объем утечки к нескольким десяткам бит, но полностью ликвидировать ее нереально;Если могут возникать конфликты по ресурсам, сам факт конфликта может быть использован для передачи информации (чуть ниже мы подробнее рассмотрим этот канал утечки);Сервис может варьировать отношение вычислительной активности к темпу подкачки страниц или числу операций ввода/вывода, кодируя таким способом информацию; параллельно работающий процесс способен наблюдать поведение системы и получать передаваемую информацию; это зашумленный канал, его пропускная способность невелика, но он есть, и им можно воспользоваться.Всегда интересно не просто теоретически знать, что каналы утечки существуют, но и понять на практике, как они могут быть устроены. Лэмпсон описывает "эксплойт" для использования конфликтов по ресурсам (мы приведем его в несколько модифицированном виде). Пусть, например, один и тот же файл нельзя параллельно открыть из двух процессов (при попытке сделать это фиксируется ошибка). Данный факт можно использовать для побитной передачи информации. Две следующие процедуры, написанные на АЛГОЛоподобном языке обеспечивают, соответственно, установку нужного бита и его проверку.

Листинг 1

setbit (file, bit); Boolean bit; begin if bit = true then loop1: open (file, loop1) else close (file) end; Boolean procedure testbit (file); begin testbit: = true; open (file, loop2); testbit:= false; close (file) loop2: end;

(К своему стыду, автор не знает, как окружение АЛГОЛ-программ реагирует на попытку закрыть неоткрытый файл).Сейчас далеко не все помнят тонкости АЛГОЛа-60, поэтому нужно пояснить по крайней мере два момента. Во-первых, метки в АЛГОЛе являются допустимым типом данных, значения которого можно передавать в качестве параметров. Во-вторых, если (занятый) файл открыть не удалось, управление нелокально передается на метку, заданную в качестве второго аргумента процедуры open. Кстати, это более практичный способ обработки исключительных ситуаций, чем проверка кодов возврата, которую зачастую забывают сделать, что является одним из источников уязвимостей программных систем.Теперь, располагая элементарными операциями, можно организовать передачу бита между процессами. Для этого Лэмпсон использует три файла: data, sendclock и receiveclock.В программе-сервисе может присутствовать такой фрагмент (написанный нами с некоторыми вольностями):

Листинг 2

Переходя к правилам ограничения (контролируемого выполнения), Лэмпсон прежде всего указывает, что ограничиваемая программа не должна иметь возможности сохранять информацию между вызовами. Для процедур это условие легко проверяется: оно означает отсутствие обращений к нелокальным переменным.Если нелокальная память отсутствует, то для успешной реализации ограничения достаточно, чтобы ограничиваемая программа не вызывала других программ. Это правило полной изоляции по сути совпадает с моделью "песочницы" в версии JDK 1.0. Разумеется, Лэмпсон тут же отвергает его как нереалистичное, поскольку, как показывают два последних из перечисленных выше примеров утечек, в числе прочих должны быть запрещены явные и неявные вызовы супервизора (ядра ОС). Попытка применить правило полной изоляции "насквозь" и потребовать, чтобы ограничивались все вызываемые программы, не проходит, поскольку супервизор нельзя ограничивать.Чтобы исправить ситуацию, предлагается, как и следовало ожидать, поделить всех на чистых и нечистых, то есть на тех, кому доверяют, и тех, кого ограничивают. В результате получается следующее правило: если ограничиваемая программа вызывает недоверенную, то последнюю также необходимо ограничивать.Дело осталось за малым — написать доверенный супервизор. Как показывают два последних из перечисленных выше примеров утечек, дело это непростое, поскольку используемые для этого каналы могут быть самыми неожиданными. Тем не менее Лэмпсон придерживается оптимистической точки зрения: каналов утечки, конечно, на удивление много, но все-таки конечное число. Необходимо их перенумеровать, а потом и заблокировать. В качестве отправной точки предлагается следующая классификация каналов:Разного рода память, управляемая супервизором, в которую может писать ограничиваемая программа (в рассматриваемых примерах — сервис), а читать — неограничиваемая (вскоре после записи или позднее); все приведенные выше примеры, кроме двух, относятся к этому классу;Легальные каналы, используемые ограничиваемой программой (например, счет за обслуживания);Скрытые каналы, вообще не предназначенные для передачи информации, (например, влияние сервиса на загруженность системы).Вот в каком контексте вводится понятие скрытого канала (covert channel) и как оно определяется Лэмпсоном. Обратим внимание читателя на то, что все каналы по памяти отнесены к другому классу утечек. Важно и то, что помимо скрытых, Лэмпсон рассматривает и так называемые "подсознательные" или потайные каналы (легальные каналы, по которым передаются данные, допускающие нестандартную интерпретацию и, следовательно, которые могут служить каналом утечки конфиденциальной информации), хотя используемый в настоящее время термин subliminal channel, по-видимому, введен Б. Шнейером примерно двадцать лет спустя.По мнению Лэмпсона предотвратить утечки через память довольно просто. Например, чтобы избавиться от блокировок при совместном доступе к ресурсам, можно при попытке записи копировать файл и бесконфликтно предоставлять копию для чтения ограничиваемой программой. (Заметим, что идея эта весьма глубока, только лучше при попытке записи открывать новую версию файла и писать в нее, применяя в дальнейшем механизмы конфигурационного управления.)Для блокирования легальных и скрытых каналов предлагается следующий принцип маскирования: ограничиваемая программа должна позволять вызывающему полностью определять вывод в легальные и скрытые каналы. Таким образом каналы маскируются вызывающим (клиентом).Это — центральная идея работы Лэмпсона. Программа ограничивается в соответствии с ожидаемой семантикой и специфическими потребностями вызывающего. Например программа для просмотра документов не должна изменять или создавать файлы. Напротив компилятору без создания файлов (временных и постоянных) не обойтись.Вообще говоря при разных вызовах одного сервиса ограничения могут быть разными. Тем более они могут быть разными для разных сервисов. Если сервис не в состоянии удовлетворить требования клиента, вызов отвергается.Для скрытых каналов Лэмпсон формулирует еще одно правило — проведения в жизнь: супервизор обязан обеспечить соответствие вывода ограничиваемой программы в скрытые каналы спецификациям вызывающего. Считается, что концептуально это несложно: можно искусственно замедлять выполнение программы, генерировать фиктивные обращения к дискам и т.п., короче говоря, зашумлять скрытые каналы. Цена проведения в жизнь может быть большой. Более практичной альтернативой (если клиент готов допустить некоторую утечку) является ограничение пропускной способности скрытых каналов.Конечно, можно отметить, что некоторые положения работы Лэмпсона, касающиеся концептуальной простоты или принципиальной реализуемости выявления и блокирования каналов утечки (в частности, скрытых каналов), остались необоснованными. Более того, как показали последующие исследования, они неверны. Тем не менее эта работа продолжает оставаться актуальной и в наше время, а ее идейный потенциал далеко не исчерпан. Тематика ограничения (контролируемого выполнения) программ ждет дальнейшего развития.

Коротко о традиционном подходе к проблеме скрытых каналов

Прими с достоинством то, что не можешь изменить.СенекаЛэмпсон понимал, что без учета семантики программ невозможно управлять доступом и, в частности, не допускать утечек информации. К огромному сожалению, эта идея не была воспринята. Последующие усилия в основном оказались направленными на разработку и реализацию универсальных и формальных, но недостаточно содержательных моделей безопасности (в особенности моделей доступа), а также на выявление и оценку пропускной способности скрытых каналов для таких моделей. Более содержательная и важная для практики задача ограничения программ по сути оказалась забытой.Традиционным стало следующее определение скрытого канала (см. ). Пусть дана модель недискреционной политики безопасности М и ее реализация I(M) в операционной системе. Потенциальная связь между субъектами I(S i) и I(S j) в I(M) называется скрытым каналом тогда и только тогда, когда эта связь между S i и S j в модели M не разрешена.Несмотря на формальный стиль и пугающее слово "недискреционной", смысл этого определения довольно прост. С одной стороны, по сравнению с работой Лэмпсона, понятие скрытого канала стало трактоваться шире. Фактически к нему отнесены все виды передачи информации, нарушающие политику безопасности. С другой стороны, наложено ограничение на дисциплину разграничения доступа, реализуемую в ОС. Она не должна сводиться к произвольному (дискреционному, согласно официальной терминологии) управлению доступом. Это значит, что круг рассматриваемых систем сужен до весьма немногочисленных, хотя и критически важных, режимных конфигураций, использующих многоуровневую политику безопасности и принудительное (мандатное) управление доступом.Напомним, что в "Оранжевой книге" требования, касающиеся скрытых каналов, фигурируют, начиная с класса B2, а мандатный доступ появляется в классе B1. В тех странах, где нормативные документы в области информационной безопасности построены на основе "Оранжевой книги", режимные организации должны бороться со скрытыми каналами и по содержательным, и по формальным причинам, для них и реализация принудительного управления доступом, и блокирование скрытых каналов — действия необходимые. В то же время, они весьма сложны. Например, в упомянутой выше работе обосновывается необходимость анализа исходного текста (наряду с анализом спецификаций) ядра ОС для выявления скрытых каналов по памяти и утверждается, что на ручной анализ ядра Secure Xenix требуется два человеко-года. Разумеется, анализ можно автоматизировать, что и было сделано, после чего было выявлено 25 переменных, потенциально пригодных для организации скрытых каналов. Любопытно отметить, что существование пяти каналов стало возможным из-за конфликтов между программным интерфейсом ядра Secure Xenix и правилами мандатного доступа; очевидно, без потери совместимости ликвидировать эти каналы невозможно.В подавляющем большинстве случаев многоуровневая политика безопасности направлена на сохранение конфиденциальности. С этой целью запрещаются информационные потоки "вниз", с верхних уровней секретности (доверия) на нижние. В таких условиях передатчиком в скрытом канале должна служить "троянская" программа с высоким уровнем доверия.Скрытые каналы по памяти были детально рассмотрены в предыдущем разделе. В принципе, скрытые каналы по времени устроены аналогично примеру с конфликтами при открытии файлов; различия касаются в основном способов кодирования передаваемой информации.Чтобы организовать скрытый канал по времени, нужен разделяемый ресурс (например, процессор) с возможностью воздействия со стороны одного процесса и выявления этого воздействия со стороны другого, а также двое часов — эталонные и сигнальные. Часы могут быть виртуальными и реализовываться в виде последовательности наблюдаемых событий. Передача информации осуществляется за счет модуляции последовательности сигнальных событий, прием — путем измерения модуляции относительно эталонных часов.В работе рассматривается построение скрытого канала по времени, использующего модуляцию занятости процессора. Идея состоит в следующем. На верхнем уровне доверия действует одна программа-передатчик. За один такт эталонных часов передатчик выполняет два вида циклов. Сначала (фаза 1) он почти не тратит процессорное время, сразу отдавая управление планировщику; затем (фаза 2), наоборот, занимает процессор максимально плотно. Приемник пытается определить относительную длительность этих двух фаз. Для этого приемник реализуется в виде двух процессов. Один подсчитывает, сколько раз он получил доступ к процессору, в цикле увеличивая (разделяемый) счетчик и тут же отдавая управление планировщику; другой в конце такта часов считывает и сохраняет значение счетчика, обнуляет его и откладывается до конца следующего такта.Со скрытыми каналами можно бороться двумя способами: пытаться блокировать их полностью или уменьшать пропускную способность.Для полного блокирования скрытого канала нужно устранить разделение ресурсов, видимое для процессов с низким уровнем доверия; последние должны выполняться так, будто кроме них в системе никого и ничего нет. Подобного невлияния можно добиться либо избегая конфликтов (например, за счет устранения разделения ресурсов), либо незаметным образом разрешая их в пользу "низших". Это, в свою очередь, порождает проблему, аналогичную инвертированию приоритетов: процесс с высоким уровнем доверия рискует получить слишком мало ресурсов, а совершаемые им транзакции могут слишком часто откладываться. Для борьбы с дискриминацией "секретных" процессов приходится идти на новые хитрости (см., например, ).Разумеется, в сколько-нибудь сложной системе избежать видимого разделения ресурсов невозможно. Идея реализации доменов безопасности с непроницаемыми границами и аппаратно односторонними междоменными каналами (см. ) относится скорее к области курьезов, поскольку игнорирует реально используемые коммуникационные протоколы. Следовательно, с существованием некоторых скрытых каналов приходится мириться, пытаясь, однако, уменьшить (или, по крайней мере, оценить) их пропускную способность.Если считать, что такт T эталонных часов постоянен, и за один такт можно различить N модуляций, то пропускная способность скрытого канала по времени оценивается величиной log2(N)/T. Для уменьшения пропускной способности можно "сбивать" часы (эталонные и/или сигнальные), "зашумлять" канал еще каким-либо способом (например, обслуживая фиктивные запросы), уменьшать разрешающую способность часов (увеличивая такт). (Заметим, что предпочтительнее воздействовать на эталонные, а не сигнальные часы, так как первое дает линейный эффект, а второе — лишь логарифмический). Любопытно отметить, что в локальной сети корпорации Боинг, сертифицированной по классу A1, разрешающая способность часов, доступных недоверенным процессам, составляет одну секунду (см. ). Как говорится, страшнее скрытого канала зверя нет, и для борьбы с ним приходится применять весьма сильнодействующие средства, существенно снижающие эффективность и осложняющие работу приложений. Впрочем, как показывает рассмотренный выше пример, можно добраться до более тонких внутренних часов планировщика; он демонстрирует также, насколько сложны анализ пропускной способности скрытых каналов и борьба с ними.Первопричина существования скрытых каналов и невозможность их устранения при традиционном подходе к построению информационных систем видится нам в следующем. Поскольку такие формальные модели безопасности, как известная модель Белла-Лападула, разграничивают доступ "в принципе", но не содержат понятия времени и не регламентируют конкуренцию за ресурсы, то есть ситуации, когда "в принципе ресурс использовать можно, только в данный момент нельзя — он занят", при любом распределении прав доступа разного рода сигнальные события и, в частности, коллизии вследствие конкуренции могут быть использованы для организации скрытых каналов.С потайными каналами (см. выше раздел 1) дело обстоит еще хуже. Представляется очевидным, что если не формализовать структуру данных, передаваемых программами по легальным каналам (Лэмпсон указывал на необходимость подобной формализации), последние всегда можно использовать для скрытой передачи информации. Строгое доказательство невозможности устранения и даже обнаружения потайных каналов при весьма общих предположениях относительно схем контроля имеется в работах А.А. Грушо , .Перечисленными причинами объясняется необходимость развития отдельной науки под названием "анализ скрытых каналов", а также принципиальная невозможность полностью блокировать утечку конфиденциальной информации универсальными средствами, не учитывающими семантику программ.

Скрытые каналы и повседневная практика

"Баржа с грузом трески вошла в порт. Поспешите, товар скоропортящийся."Г. Мопассан. "Заведение Телье"В повседневной практике скрытые каналы трактуются шире, чем в теории. Расширение происходит по четырем направлениям:Рассматриваются системы с произвольной дисциплиной управления доступом (а не только с многоуровневой политикой безопасности);Рассматриваются не только нестандартные каналы передачи информации, но и нестандартные способы передачи информации по легальным каналам (потайные каналы);Рассматриваются угрозы не только конфиденциальности, но и целостности;Рассматриваются не только однонаправленные, но и двунаправленные каналы.В повседневной практике скрытые каналы чаще всего возникают из-за возможности доступа к данным несколькими способами. Например, если в корневом каталоге файловой системы располагается tftp-сервер, он позволит получить всем пользователям доступ на чтение ко всем файлам, независимо от установленных прав доступа. Второй пример: если есть программа со взведенным битом переустановки действующего идентификатора пользователя, владельцем root и... уязвимостью, то обычный пользователь может проэксплуатировать уязвимость, захватить привилегии суперпользователя и нарушить конфиденциальность и целостность чего угодно. Третий пример: пароль в незашифрованном виде, хранящийся в оперативной памяти и сбрасываемый в файл с образом памяти при аварийном завершении. Очевидно, число подобных примеров можно умножать до бесконечности.Нестандартные способы передачи информации по легальным каналам получили название "подсознательных" или потайных каналов (subliminal channels), хотя по аналогии с наложенными сетями их лучше было назвать наложенными скрытыми каналами. Потайные каналы используют тогда, когда имеется легальный коммуникационный канал, но политика безопасности запрещает передавать по нему определенную информацию; иными словами, информацию передавать можно, но она не должна выглядеть подозрительно (в соответствии с некими, обычно не очень четкими критериями). Помимо разведчиков, в потайных каналах нуждаются хозяева "троянских" программ, таких, например, как Back Orifice или Netbus; если канал взаимодействия с ними будет явным, "троянца" быстро вычислят и уничтожат. Подобные каналы, используемые для управления, должны быть двунаправленными.Потайной канал возможен тогда, когда в передаваемых легальных данных есть незначащие или почти незначащие биты, например, некоторые биты в заголовках IP-пакетов или младшие биты интенсивности цветов в графическом файле, присоединенном к письму. (Электронная почта — идеальный легальный канал, на который удобно накладывать скрытые.) В работе рассматривается другой пример: нестандартный алгоритм электронной подписи, оставляющий место для тайных сообщений, не препятствующих проверке аутентичности ЭЦП.Для нарушения целостности чаще всего используют уязвимости, связанные с переполнением буферов. Если тем самым изменяется содержимое стека вызовов, то перед нами еще один пример скрытого канала, основанного на возможности доступа к данным нестандартным способом. Применяются также атаки пользовательских процессов на целостность транзакций, выполняемых процессами привилегированными (соответствующий англоязычный термин — race condition). Возможность подобной атаки появляется, если временные данные для транзакции располагаются в общедоступных каталогах, таких как /tmp.Разумеется, при расширительном толковании понятия скрытого канала проблемы, описанные в предыдущем разделе, не только остаются, но и обостряются; кроме того, к ним добавляются новые. С этими проблемами можно бороться двумя способами: формальным и содержательным.Формальный способ усиления безопасности состоит в попытке добавить к употребительным операционным системам, таким как Linux, возможности, реализующие требования классов B2 и старше из "Оранжевой книги", то есть реализовать в ядре ОС мандатный доступ ко всем ресурсам и провести анализ скрытых каналов. Вне зависимости от выполнимости последнего пункта, подобный путь представляется тупиковым. Одно дело анализировать скрытые каналы в операционной системе мэйнфрейма, изначально спроектированной с учетом требований безопасности и прошедшей многолетнюю апробацию (см., например, ) и совсем другое — в ОС, содержащей ошибки, связанные с переполнением буферов. Для подлинной безопасности нужно не только добавление принудительного управления доступом, но и существенное перепроектирование ОС.Содержательный способ борьбы со скрытыми каналами состоит в выстраивании эшелонированной обороны; утечки информации признаются неизбежными, но их пытаются локализовать и отследить. Для иллюстрации рассмотрим следующий гипотетический пример. Банк, информационная система которого имеет соединение с Интернет, защищенное межсетевым экраном, приобрел за рубежом автоматизированную банковскую систему (АБС). Изучение регистрационной информации экрана показало, что время от времени за рубеж отправляются IP-пакеты, содержащие какие-то непонятные данные. Стали разбираться, куда же пакеты направляются, и оказалось, что идут они в форму-разработчик АБС. Возникло подозрение, что в АБС встроены "троянская" программа и скрытый канал, чтобы получать информацию о деятельности банка. Связались с фирмой и в конце концов выяснили, что один из программистов не убрал из поставленного в банк варианта отладочную выдачу, которая была организована сетевым образом (как передача IP-пакетов специфического вида, с явно заданным IP-адресом рабочего места этого программиста). Если бы не межсетевой экран, канал оставался бы скрытым, а конфиденциальная информация о платежах свободно гуляла по сетям.Конечно, мысль о необходимости эшелонированной обороны не нова; надо только не забыть реализовать ее на практике...Еще один практически важный в данном контексте архитектурный принцип — разнесение доменов выполнения для приложений с разным уровнем доверия на разные узлы сети. Если такие приложения будут функционировать в распределенной среде клиент/сервер, ограничить их взаимное влияние (и, следовательно, заблокировать скрытые каналы) будет существенно проще, чем в случае единых многопользовательских систем.

Скрытые каналы и Java-аплеты

"Подразумевается, что Вульф приложит все силы для сохранения в тайне фактов, способных нанести ущерб корпорации; при несоблюдении этого условия он теряет право на гонорар."Р. Стаут. "Слишком много клиентов"Одной из актуальных и практически важных проблем информационной безопасности является пресечение вредоносных действий со стороны мобильных агентов и, в частности, Java-аплетов. Подобные агенты — обязательная составляющая систем электронной коммерции, электронного голосования и других приложений, ориентированных на массовое, повседневное использование.Универсальной модели безопасности, реализованной на платформе Java 2 и ориентированной на защиту локальных ресурсов от несанкционированного доступа со стороны аплета, недостаточно для того, чтобы предотвратить утечку конфиденциальной информации по скрытым каналам, поскольку такую информацию может передать аплету сам пользователь (в надежде на корректность поведения аплета). Хотелось бы, чтобы кроме надежды, у пользователя были и другие основания для доверия. Для этого необходимо ограничить поведение аплета в соответствии с его спецификациями, что означает возврат к истокам, к постановке задачи, предложенной Лэмпсоном тридцать лет назад.В работе рассматривается пример простого протокола из области электронной торговли, возникающие при этом сложности с обеспечением конфиденциальности и возможные пути их преодоления. Суть примера в следующем. Имеются три субъекта: покупатель, продавец и банк, обслуживающий покупателя. Для оформления заказа покупатель загружает с сервера продавца Java-аплет, осуществляющий ввод данных о заказываемом товаре и реквизитах счета покупателя. Аплет должен передать эту информацию продавцу, предварительно зашифровав банковские реквизиты имеющимся у покупателя ключом банка (продавцу знать реквизиты счета покупателя не полагается, ему нужно лишь получить от банка плату за покупку).Очевидно, у аплета есть много способов разной степени скрытности передать продавцу конфиденциальную информацию о счете покупателя: изменить представление заказа зависящим от реквизитов образом, зашифровать реквизиты своим ключом (а не ключом банка) и т.п. Идея ограничения аплетов, предлагаемая в , состоит в том, чтобы вместе с интерпретируемым кодом поступали спецификация свойств конфиденциальности и допускающее автоматическую проверку доказательство того, что байт-код соответствует спецификации. В свою очередь, в спецификации задаются зависимости между изменением исходных данных (вводимых пользователем) и наблюдаемым поведением аплета. Эти зависимости должны быть в точности такими, как предписывает протокол. Например, результат шифрования реквизитов должен меняться при их изменении, равно как и при изменении банковского ключа; если последнее утверждение неверно, значит аплет использует для шифрования нелегальный ключ. Еще пример: данные о заказываемом товаре, передаваемые продавцу, не должны меняться при изменении реквизитов.Мы не будем вдаваться в тонкости применяемого в формализма. Отметим лишь, что предлагаемый подход представляется весьма перспективным; это подтверждается прототипной реализацией. Он не решает всех проблем; со скрытыми каналами по времени бороться по-прежнему трудно, хотя в принципе можно варьировать уровень детализации наблюдаемого поведения, добиваясь видимости все более тонких эффектов.

О скрытых каналах в искусстве и жизни

По всей земле разбросано множество древних образов, неизгладимых и вечных; любой из них способен служить искомым символом. Словом Бога может оказаться гора, или река, или империя, или сочетание звезд.Х.Л. Борхес. "Письмена Бога"Идея скрытых и потайных каналов стара как мир. Аллегории, эзопов язык — это способы организовать потайные каналы при словесной передаче данных. Для визуальной передачи применяют пресловутые горшки с геранью, выставляемые на подоконник в определенных случаях, и другие условные знаки. Такая привычная вещь, как школьная подсказка, также является формой использования скрытых каналов.Впрочем, подсказки практикуются не только в школе. В сентябре 2001 года, при записи английской телепередачи "Who wants to be a millionaire?" майор Чарльз Ингрэм правильно ответил на все вопросы, но не получил положенный миллион фунтов стерлингов, поскольку организаторы шоу заподозрили обман и не только не выпустили записанную передачу в эфир, но и обратились в полицию.Режиссеру показалось, что ответ на последний, пятнадцатый вопрос ("Как называется число 10 в сотой степени?") игрок дал сразу после того, как в зале отчетливо прозвучал одиночный кашель (правильным был первый вариант ответа).Стали разбираться, изучать видеозапись (передача записывалась два дня). Выяснилось, что при ответе на первый вопрос второго дня (а всего восьмой, на восемь тысяч фунтов стерлингов) ("Кто был вторым мужем Жаклин Кеннеди?") майор по очереди вслух произносил представленные варианты ответов, и после озвучивания правильного варианта также послышался кашель.Дальнейшее расследование показало, что в зале присутствовала жена майора, Диана, якобы передававшая по рации вопросы другу семьи, который находил в Интернет ответы и сообщал их Диане, передававшей их мужу с помощью описанного выше скрытого канала с переменной схемой кодирования. (На самом деле, мы излагаем здесь реконструированную и наиболее логичную, на наш взгляд, версию происходившего; разные источники — www.izvestia.ru , www.tv-digest.ru , www.interpolice.ru — расходятся в деталях.) В марте 2003 года начался суд, призванный решить судьбу миллиона. Естественно, адвокаты Ингрэма утверждают, что никакого обмана со стороны их клиента не было, а кашель в аудитории, насчитывающей двести человек, слышится постоянно (что, заметим, затрудняет мониторинг подобных скрытых каналов, хотя и зашумляет их).После скандальной передачи организаторы игры усилили меры безопасности (см. http://www.interpolice.ru/archiv/2001/24/show.shtml?16). Все зрители подвергаются личному досмотру, участники — психологическому тестированию на предмет выявления криминальных склонностей. За залом ведется постоянное наблюдение, в том числе с помощью камер ночного видения. Эфир прослушивается радиосканером, чтобы выявить и заглушить возможную передачу ответа на миниатюрный приемник, который может быть спрятан у игрока в ухе. Вот так приходится бороться со скрытыми каналами, которые могут использовать злоумышленники с высокой мотивацией. Но не будет у организаторов гарантий информационной безопасности, пока у игрока и зрителей остается хоть один разделяемый ресурс, даже если этот ресурс — воздух.Не беремся предсказывать, чем закончится эта история. Отметим лишь, что если у кого-то есть друг, умеющий быстро находить в Интернет нужную информацию, и жена, способная эту информацию воспринять и правильно, да еще с вариациями, прокашлять, то ему, безусловно, повезло. А организаторам подобных игр лучше бы озаботиться качеством вопросов, а не сканированием ушей игроков...Тема использования скрытых каналов в процессе игры, конечно, не нова. По крайней мере, внимание художников она привлекла более четырехсот лет назад. Наверняка многие помнят классическое полотно Караваджо (Микеланджело Меризи) "Игроки в карты" (второе название — "Игра в карты с шулерами"), датируемое приблизительно 1594 годом. На нем изображена типичная ситуация: недоверенный субъект осуществляет несанкционированное раскрытие информации, после чего передает ее по скрытому каналу. Отметим также, что еще один изображенный на картине недоверенный субъект уже обзавелся средствами (лишней картой за поясом) для нарушения целостности.

Рисунок 1. Караваджо (Микеланджело Меризи) "Игроки в карты" (второе название — "Игра в карты с шулерами")

Последователь Караваджо, Валантен (Жан де Булонь), на полотне "Игра в карты" изобразил более тонкий метод нарушения конфиденциальности, но механизм передачи данных остался тем же.

Рисунок 2. Валантен (Жан де Булонь) "Игра в карты"

(По адресу http://www.citycat.ru/rest/cards/painting/ можно найти и другие полотна аналогичной направленности, например, картину Йоса ван Красбека "Игроки в карты", где изображен трюк с зеркальцем.)Не счесть примеров скрытых и потайных каналов в литературе. Один из лучших и самых драматичных принадлежит перу Борхеса и описан в его замечательной новелле "Сад расходящихся тропок". Мы приведем несколько фрагментов из нее, чтобы читатель смог оценить ресурсы и методы, потребовавшиеся для организацию подобного канала, результаты использования переданной информации и соотношение между тем и другим.Отметим, что в данном случае скрытый канал стал возможен из-за наличия свободного доступа к части регистрационной информации. Поучительно проанализировать и обстоятельства, способствовавшие успеху предприятия, в первую очередь — слабость некоторых методов биометрической идентификации/аутентификации (по разрезу глаз и цвету кожи)Итак, слово Борхесу.На двадцать второй странице "Истории мировой войны" Лиддел Гарта сообщается, что предполагавшееся на участке Сер-Монтобан 24 июля 1916 года наступление тринадцати британских дивизий (при поддержке тысячи четырехсот орудий) пришлось отложить до утра двадцать девятого. Нижеследующее заявление, продиктованное, прочитанное и подписанное доктором Ю. Цуном, бывшим преподавателем английского языка в Hoch Schule города Циндао, проливает на случившееся неожиданный свет.... Значит, Рунеберг арестован или убит. Солнце не зайдет, как та же участь постигнет и меня. ... я знаю Тайну — точное название места в долине Анкра, где расположен новый парк британской артиллерии. ... О, если бы... я смог выкрикнуть это известие так, чтобы его расслышали в Германии... Мой человеческий голос был слишком слаб. Как сделать, чтобы он дошел до слуха шефа? До слуха этого слабогрудого, ненавистного человечка, который только знает обо мне и Рунеберге, что мы в Стаффордшире, и напрасно ждет от нас известий в своем унылом английском кабинете, день за днем изучая газеты... ... Что-то — наверное, простое желание убедиться в ничтожности своих ресурсов — подтолкнуло меня осмотреть карманы. Там нашлось только то, что я и думал найти. Американские часы, ... крона, два шиллинга и несколько пенсов, ... револьвер с одной пулей. Я зачем-то взял его и, придавая себе решимости, взвесил в руке. Тут у меня мелькнула смутная мысль, что выстрел услышат издалека. Через десять минут план был готов. По телефонному справочнику я разыскал имя единственного человека, способного передать мое известие: он жил в предместье Фэнтона, с полчаса езды по железной дороге.... я исполнил свой замысел потому, что чувствовал: шеф презирает людей моей крови — тех бесчисленных предков, которые слиты во мне. Я хотел доказать ему, что желтолицый может спасти германскую армию. ...Платформу освещал фонарь, но лица ребят оставались в темноте. Один из них спросил: "Вам к дому доктора Стивена Альбера?" Другой сказал, не дожидаясь ответа: "До дома не близко, но вы не заблудитесь: ступайте вот этой дорогой налево и сворачивайте влево на каждой развилке". Я бросил им последнюю монету, спустился по каменным ступенькам и вышел на безлюдную дорогу. ...... из дома за оградой показался фонарь... Нес его рослый мужчина. ... Он приоткрыл ворота и медленно произнес на моем родном языке:— Я вижу, благочестивый Си Пэн почел своим долгом скрасить мое уединение. Наверное, вы хотите посмотреть сад?Он назвал меня именем одного из наших посланников, и я в замешательстве повторил за ним:— Сад?— - Ну да, сам расходящихся тропок.Что-то всколыхнулось у меня в памяти, и с необъяснимой уверенностью я сказал:— Это сад моего прадеда Цюй Пэна.— Вашего прадеда? Так вы потомок этого прославленного человека? Прошу.Альбер поднялся во весь рост. Он выдвинул ящик высокой конторки и на миг стал ко мне спиной. Мой револьвер был давно наготове. Я выстрелил, целясь как можно тщательней: Альбер упал тут же, без единого слова. Клянусь, смерть его была мгновенной, как вспышка.Остальное уже нереально и не имеет значения. ... я был арестован. Меня приговорили к повешению. Как ни ужасно, я победил: я передал в Берлин название города, где нужно было нанести удар. Вчера его разбомбили: я прочитал об этом в газетах, известивших Англию о загадочном убийстве признанного китаиста Стивена Альбера, которое совершил некий Ю. Цун. Шеф справился с этой загадкой. Теперь он знает, что вопрос для меня был в том, как сообщить ему о городе под названием Альбер, и что мне, среди грохота войны, оставалось одно: убить человека, носящего это имя. Он только не знает — и никому не узнать, — как неизбывны моя боль и усталость.

Заключение

"На этот раз я буду умнее", — подумал он, доставая камни из сумки и пряча их в карман. Это ведь портовый город, а в порту, как верно заметил тот, кто его обокрал, всегда полно жуликов.П. Коэльо. "Алхимик"Изучение проблематики скрытых каналов показывает, как важно правильно поставить задачу и рассматривать ее не изолированно, а в реальном окружении.На наш взгляд, правильная постановка, связанная с контролируемым выполнением (ограничением) программ, с самого начала предложенная Лэмпсоном, в дальнейшем незаслуженно отошла на второй план. Попытки бороться со скрытыми (и потайными) каналами с помощью формальных методов, не учитывающих семантику программ, как показывают результаты А.А. Грушо, обречены на неудачу.В реальном окружении проблема утечки конфиденциальной информации стоит особенно остро для распределенных систем с мобильными агентами. В настоящее время существуют перспективные подходы к ее решению.На практике требуется блокировать скрытые каналы всех видов: как те, что угрожают конфиденциальности, так и представляющие угрозу целостности программ и данных. В частности, необходимо выявлять и пресекать общение "троянских" программ со своими хозяевами (равно как и попытки внедрения таких программ).Следование принципам архитектурной безопасности (эшелонированность обороны, разнесение доменов выполнения) помогает бороться как со скрытыми каналами, так и с последствиями их функционирования. При современной технологии создания информационных систем выявить и блокировать все скрытые каналы невозможно. Нужно заставить злоумышленников выстраивать как можно более длинные цепочки из таких каналов; обнаружить и разорвать подобную цепочку существенно проще, чем отдельный канал.

Благодарности

Здесь аванс в десять тысяч долларов. Если бы я дал вам чек, об этом могли бы разнюхать те, от кого я хочу сохранить это в тайне. Расписка не нужна.Р. Стаут. "Если бы смерть спала"Автор признателен И.А. Трифаленкову, которому принадлежит общий замысел данной статьи, определивший ее практическую направленность.

Литература

B.W. Lampson -- A Note of the Confinement Problem. -- Communications of ACM, v. 16, n. 10 , Oct. 1973 B. Schneier -- Applied Cryptography: Protocols, Algorithms, and Source Code in C., 2nd edition -- John Wiley & Sons, New York , 1996 C.-R. Tsai , V.D. Gligor , C.S. Chandersekaran -- A Formal Method for the Identification of Covert Storage Channels in Source Code -- IEEE Transactions on Software Engineering, v.16:6 , 1990 J.V.A. James , D.B. Darby , D.D. Schnachenberg -- Building Higher Resolution Synthetic Clocks for Signalling in Covert Timing Channels. — Proceedings of the Eight IEEE Computer Security FOundations Workshop (CSFW"95). -- IEEE , 1995 S.H. Son , R. Mukkamala , R. David -- Integrating Security and Real-Time Requirements Using Covert Channel Capacity. -- IEEE Transactions on Knowledge and Data Engineering, v. 12, n. 6 , Nov.-Dec. 2000 J.A. Davidson -- Asymmetric Isolation. — Proceedings of the 12th Annual Computer Security Applications Conference (ACSAC). -- IEEE , 1996 А.А. Грушо -- Скрытые каналы и безопасность информации в компьютерных системах -- Дискретная математика , т.10, вып. 1 , 1998 А.А. Грушо -- О существовании скрытых каналов -- Дискретная математика , т.11, вып. 1 , 1999 J.-K. Jan , Y.-M. Tseng -- New Digital Signature with Subliminal Channels on the Discrete Logarithm Problem. — Proceedings of the 1999 International Workshops on Parallel Processing. -- IEEE , 1999 С. Симонов, П. Колдышев -- Обеспечение информационной безопасности в вычислительных комплексах на базе мэйнфреймов. -- Jet Info , No. 4 , 2002 M. Dam , P. Giambiagi -- Confidentiality for Mobile Code: The Case of a Simple Payment Protocol. — Proceedings of the 13th IEEE Computer Security Foundations Workshop (CSFW"00). -- IEEE , 2000

Введение.

1 Анализ существующих методов обнаружения вторжений.

1.1 Основные понятия.

1.2 Типовая структура СОВ.

1.3 Методологии обнаружения вторжений.

1.4 Обнаружение злоупотреблений.

1.4.1 Сопоставление строк.

1.4.2 Использование экспертных систем.

1.4.3 Анализ переходов между состояниями.

1.4.4 Методы добычи данных.

1.5 Обнаружение аномалий.

1.5.1 Статистические методы.

1.5.2 Предсказание поведения.

1.5.3 Методы добычи данных.

1.5.4 Нейросетевые методы.

1.5.5 Обнаружение аномалий в последовательностях системных вызовов.

1.6 Классификация СОВ.

1.7 Цели и задачи исследования.

1.8 Выводы.

2 Разработка модели системы обнаружения вторжений на основе СММ.

2.1 Сведения из теории СММ.

2.1.1 Основные определения.

2.1.2. Постановка типовых задач, связанных с СММ.

2.1.3 Решение задачи оценивания.

2.1.4 Решение задачи распознавания.

2.1.5 Решение задачи обучения.

2.1.6 Применение масштабирования в алгоритмах СММ.

2.1.7 Решение задачи обучения для множественных последовательностей наблюдений.

2.2 Принцип функционирования модели COA.

2.2.1 Общая схема COA.

2.2.2 Этапы функционирования системы.

2.2.3 Выбор используемой подсистемы аудита.

2.2.4 Формирование профиля нормального поведения процесса.

2.2.5 Алгоритм обнаружения аномалий в работе процесса.

2.3 Исследование возможности работы разработанной COA в составе комплексной СОВ.

2.4 Выводы.

3 Экспериментальное исследование модели системы обнаружения вторжений

3.1 Описание тестовой базы данных.

3.1.1 Обоснование выбора тестовой базы данных.

3.1.2 Данные процесса 1рг.

3.1.3 Данные процесса named.

3.1.4 Данные процесса xlock.

3.1.5 Данные процесса login.

3.1.6 Данные процесса ps.

3.1.7 Данные процесса inetd

3.1.8 Данные процесса stide.

3.2 Иллюстрация работы алгоритма обнаружения аномалий на примере данных процесса named.:.

3.3 Исследование зависимости эффективности обнаружения вторжений от выбранного числа состояний СММ.

3.3.1 Постановка задачи исследования.

3.3.2 Процесс lpr.

3.4 Обсуждение результатов экспериментов.

3.5 Выводы.

4 Разработка параллельного алгоритма обучения СММ.

4.1 Известные решения по ускорению обучения СММ.

4.2 Обоснование возможности эффективной организации параллельных вычислений в алгоритме обучения СММ.

4.2.1 Анализ алгоритма обучения СММ для однократных последовательностей наблюдений.

4.2.2 Анализ алгоритма обучения для многократных последовательностей наблюдений.

4.3 Разработка параллельного алгоритма обучения СММ.

4.4. Теоретическая оценка эффективности параллельного алгоритма.

4.5 Особенности программной реализация параллельного алгоритма обучения СММ.

4.5.1 Выбор средств реализации.

4.5.2 Описание программной реализации.

4.5.3 Экспериментальное подтверждение функционального соответствия параллельной и последовательной реализаций алгоритма обучения СММ.

4.6 Выводы.

5 Экспериментальное исследование эффективности параллельного алгоритма обучения СММ.

5.1 Условия проведения экспериментов.

5.2 Исследование эффективности работы параллельного алгоритма обучения СММ на сетевом кластере.

5.3 Исследование эффективности работы параллельного алгоритма обучения СММ на многопроцессорном кластере.

5.4 Выводы.

Введение диссертации (часть автореферата) на тему "Разработка алгоритмических и программных средств, повышающих эффективность обнаружения вторжений на основе использования скрытых марковских моделей"

В связи с совершенствованием вычислительной техники и бурным ростом телекоммуникационных технологий, наблюдается повышение сложности используемого программного обеспечения. В таких условиях усложняется анализ разрабатываемых программ с точки зрения безопасности. По данным Национального института стандартов и технологий США (NIST), если количество зарегистрированных уязвимостей широко используемого программного обеспечения до 1996 года составляло десятки в год, то в 2004 году этот показатель достиг 2356, в 2005 году - 4914, и в 2006 - 6600 .

Рост числа уязвимостей программного обеспечения обуславливает актуальность не только таких превентивных мер противодействия, как использование межсетевых экранов и обманных систем, но также и внедрения систем обнаружения вторжений (СОВ), позволяющих активно противодействовать попыткам несанкционированного доступа. При этом очевидно, что со временем СОВ, целиком основанные на использовании пополняемых баз сигнатур известных вторжений, не будут способны гарантировать оперативное обнаружение вторжений, основанных на только что открытых уязвимостях.

В последнем выпуске ежегодного бюллетеня института SANS, отражающего десять наиболее важных тенденций в развитии информационной безопасности , прогнозируется дальнейший рост эксплуатации неизвестных ранее уязвимостей (0-day vulnerabilities), а также увеличение числа скомпрометированных узлов глобальной сети, позволяющих злоумышленникам осуществлять распределённые атаки и затруднять впоследствии поиск источника вторжения. В таких условиях актуальность приобретает развитие новых подходов к обнаруженшо вторжений, обеспечивающих своевременное обнаружение факта вторжения вне зависимости от наличия его точной сигнатуры.

Актуальность темы

Основной проблемой, с которой сталкиваются разработчики современных систем обнаружения вторжений (СОВ), является низкая эффективность существующих механизмов обнаружения принципиально новых видов вторжений, признаки которых не изучены и не занесены в базы данных сигнатур. Развитая в последние годы теория обнаружения аномалий, призванная решить эту проблему, не находит широкого применения из-за низкой надёжности используемых методов. Системы, построенные на основе этой теории, характеризуются недопустимо высоким уровнем ложных срабатываний.

В последнее время распространение получили более эффективные методы обнаружения вторжений, основанные на анализе последовательностей системных вызовов, поступающих к ядру операционной системы. Среди них одним из наиболее перспективных направлений является использование скрытых марковских моделей (СММ) для описания модели профиля нормального поведения того или иного процесса и обнаружения отклонений от этого профиля, свидетельствующих о возможном вторжении. Методы, основанные на использовании СММ, превосходят другие методы в эффективности обнаружения, однако требуют применения более трудоёмких алгоритмов .

Таким образом, задача исследования и совершенствования подхода к обнаружению вторжений с использованием СММ является актуальной.

Целью работы является разработка метода обнаружения вторжений на основе подхода, предполагающего использование СММ для описания профилей процессов. Разработанный метод позволяет уменьшить время обучения СММ для их более эффективного использования при решении задач обнаружения вторжений.

Исходя из основной цели данной работы, определяется перечень решаемых задач:

1) Разработать модель системы обнаружения вторжений.

2) Разработать алгоритмы формирования профилей нормального поведения процессов в виде СММ и обнаружения вторжений с их помощью.

3) Разработать параллельный алгоритм обучения для уменьшения времени обучения СММ.

4) Провести экспериментальное исследование и сравнительный аиализ последовательного и параллельного алгоритма обучения СММ.

В рамках исследования используются методы теории вероятностей и математической статистики, математического моделирования, теории алгоритмов, теории параллельных вычислений. Широко применялось компьютерное моделирование, в том числе и с использованием самостоятельно разработанного программного обеспечения.

Основные результаты, выносимые на защиту

1) Модель СОВ, основанная на обнаружении аномалий в последовательностях системных вызовов, идущих от контролируемых процессов, использует профили нормального поведения контролируемых процессов в виде СММ. В основе модели лежит метод, позволяющий локализовать аномалию, вызванную вторжением, с точностью до системного вызова, основываясь на условной вероятности его возникновения.

2) Параллельный масштабируемый алгоритм обучения СММ для множественных последовательностей наблюдений, позволяющий проводить обучение СММ быстрее, чем широко используемый в настоящее время последовательный алгоритм Баума-Уэлча.

Научная новизна работы заключается в следующем:

Разработан метод обнаружения вторжений, использующий профили нормального поведения контролируемых процессов в виде СММ. Метод позволяет локализовать аномалию, вызванную вторжением, с точностью до системного вызова, основываясь на условной вероятности его возникновения.

Разработан масштабируемый параллельный алгоритм обучения СММ для множественных последовательностей наблюдений, реализованный с помощью технологии MPI. Реализация параллельного алгоритма демонстрирует производительность близкую к теоретическому пределу даже при работе на недорогих сетевых кластерах, развёрнутых на вычислительных сетях типа Fast Ethernet.

Практическая значимость и внедрение результатов работы

Практическая значимость результатов диссертации заключается в следующем:

Разработана модель системы обнаружения вторжений, основанная на обнаружении аномалий в последовательностях системных вызовов, идущих от контролируемых процессов. Принципы, заложенные в систему, позволяют обнаруживать вторжения, признаки (сигнатуры) которых априорно не известны.

Разработан параллельный алгоритм обучения СММ, позволяющий сократить время их обучения. Использование алгоритма возможно в других приложениях СММ, например, в распознавании речи, оптическом распознавании текста, генетике.

Разработана параллельная программа быстрого обучения СММ, обеспечивающая производительность, близкую к теоретическому пределу даже при запуске на недорогих сетевых кластерах.

Основные результаты исследований использованы на кафедре «Безопасность информационных технологий» Технологического института Южного федерального университета в г. Таганроге при выполнении ряда научно-исследовательских и опытно-конструкторских работ для государственного заказчика, научных исследований, поддержанных грантом

РФФИ, а также совместным грантом Министерства образования и науки Российской Федерации и Германской службы академических обменов (DAAD).

Достоверность полученных результатов подтверждается полнотой и корректностью теоретических обоснований и результатами экспериментов, проведенных с помощью разработанных в диссертации программ.

Публикации

По теме диссертации имеется 12 публикаций, из них 11 научных статей и тезисов докладов и одно свидетельство о регистрации программы для ЭВМ. Три статьи опубликованы в журнале «Известия Таганрогского государственного радиотехнического университета (ТРТУ)» за 2003-2005 гг. из перечня, рекомендованного ВАК РФ для публикации результатов диссертационных работ.

Основные результаты работы докладывались и обсуждались на:

1) Международных научно-практических конференциях «Информационная безопасность», Таганрог, 2002, 2003, 2004 и; 2005 гг.

2) XXXIII региональной молодёжной конференции «Проблемы-теоретической и прикладной математики», Екатеринбург, 2002 г.

3) Конференциях профессорско-преподавательского состава Таганрогского государственного радиотехнического университета, Таганрог, 2004 и 2005 гг.

4) Семинаре стипендиатов программы «Михаил Ломоносов», Бонн (Германия), 2005 г.

5) Международной конференции «Информатика и информационные технологии» ("Computer Science and Information Technologies"), Карлсруэ (Германия), 2006 г.

Структура и объем диссертации

Диссертационная работа состоит из введения, пяти глав, заключения, списка использованных источников (113 наименований) и приложения. Общий объем работы - 158 страниц. В работе приведен графический материал в объеме 19 рисунков, содержится 28 страниц приложений.

Заключение диссертации по теме "Методы и системы защиты информации, информационная безопасность", Аникеев, Максим Владимирович

5.4 Выводы

1) Проведено экспериментальное исследование эффективности параллельного алгоритма обучения СММ на сетевом кластере. Данные исследований демонстрируют возможность реализации алгоритма на недорогих сетевых кластерах с небольшим числом узлов, при этом достигаются значения ускорения близке к теоретическому пределу.

2) При исследованиях с использованием многопроцессорного кластера наблюдается близкий к линейному рост ускорения до достижения им практического предела. Это свидетельствует о высокой эффестивности использования вычислительных ресурсов при распараллеливании.

Заключение

В соответствии с поставленными целями, в итоге проведенных исследований и разработок были получены следующие основные научные результаты:

1) Разработана модель СОВ, основанная на обнаружении аномалий в последовательностях системных вызовов, идущих от контролируемых процессов. Принципы, заложенные в систему, позволяют обнаруживать вторжения, признаки (сигнатуры) которых априорно не известны. Модель использует профили нормального поведения контролируемых процессов в виде СММ. В основе модели лежит метод, позволяющий локализовать аномалию, вызванную вторжением, с точностью до системного вызова, основываясь на условной вероятности его возникновения. Исследована возможность интеграции модели в состав комплексной СОВ.

2) Проведено экспериментальное исследование зависимости показателей эффективности обнаружения вторжений от выбранного числа состояний СММ. Установлено, что процесс обучения СММ зачастую сходится к локальному минимуму целевой функции. Этот факт ещё более усложняет процесс обучения, так как возникает дополнительная необходимость поиска значения числа состояний, обеспечивающего необходимые уровни вероятностей правильного обнаружение и ложного срабатывания. Таким образом, задача сокращения времени обучения СММ становится ещё более актуальной.

3) Разработан параллельный масштабируемый алгоритм обучения СММ, позволяющий проводить обучение быстрее, чем широко используемый в настоящее время последовательный алгоритм Баума-Уэлча для множественных последовательностей наблюдений, а также его программная реализация на основе технологии MPI. Использование алгоритма возможно в других приложениях СММ, например, в распознавании речи, оптическом распознавании текста, генетике.

4) Проведено экспериментальное исследование эффективности параллельного алгоритма обучения СММ. Данные исследований демонстрируют возможность реализации алгоритма на недорогих сетевых кластерах с ускорением близким к теоретически предельному.

Список литературы диссертационного исследования кандидат технических наук Аникеев, Максим Владимирович, 2008 год

1. National Institute of Standards and Technology. E-resource. - Available: http://nvd.nist.gov.

2. The ten most important security trends of the coming year / Edited by S. Northcutt et al. - SANS Institute, 2006. - 3 p. - Available: http://www.sans.org/resources/10securitytrends.pdf.

3. Kumar, S. Classification and detection of computer intrusions: PhD thesis. -Purdue university, 1995. - 180 p.

4. Лукацкий, А. В. Обнаружение атак. - СПб.: БХВ-Петербург, 2001. -624 с.

5. Милославская, Н. Г., Толстой, А. И. Интрасети: обнаружение вторжений: Учеб. пособие для вузов. - М.: Юнити-Дана, 2001. - 587 с.

6. Lundin, Е., Jonsson, Е. Survey of intrusion detection research: Technical report No. 02-04. - Goteborg: Chalmers University of Technology, 2002 - 43 p.

7. Denning, D. E. An intrusion-detection model // IEEE Transaction on software engineering. - 1987. -No. 2. - P. 222-232.

8. Hansen, S. E., Atkins, E. T. Automated system monitoring andthnotification with swatch // Proc. 7 System Administration Conference (LISA 93). - Monterey. - 1993. - P. 101-108.

9. Абрамов, E. С. Разработка и исследование методов построения систем обнаружения атак: дис. . канд. техн. наук: 05.13.19 - Таганрог, 2005. - 140 с.

10. Абрамов, Е. С. Разработка методов функционального тестирования СОА // Сборник научных трудов XI всероссийской научной конференции «Проблемы информационной безопасности в системе высшей школы». - М.: МИФИ, 2004.

11. Wu, S., Manber, U. Fast text searching with errors. Technical report TR 91-11. -Tucson: Univ. of Arizona, 1991. - 18 p.

12. Lindqvist, U., Porras, P. A. Detecting computer and network misuse through the production-based expert system toolset (P-BEST) // Proc. 1999 IEEE Symposium of Security and Privacy, Oakland, California, May 1999. - IEEE Сотр. Soc., 1999, -P. 141-161.

13. Snort - the de facto standard for intrusion detection/prevention. - 2006. - Available: http://snort.org

14. Snort™ user manual. 2.6.0. - Sourcefire, Inc., 2006. - Available: http://snort.Org/docs/snortmanual/2.6/snortmanual.pdf

15. Habra, N., Le Charlier, В., Mounji, A., Mathieu, I. ASAX: Software architecture and rule-based language for universal audit trail analysis // European Symposium on Research in Computer Security (ESORICS). - 1992. - P. 435450.

16. Porras, P. A., Neumann, P. G. Emerald: Event monitoring enabling responses to anomalous live disturbances. - Proc. 20th National Information Systems Security Conference. - Baltimore: NIST/NCSC, 1997. - P. 353-365.

17. Vigna, G., Eckmann S. Т., Kemmerer, R. A. The STAT tool suite // Proc. DISCEX 2000. - IEEE Press, 2000.

18. Ilgun, K., Kemmerer, R. A., Porras, P. A. State transition analysis: a rule-base intrusion detection approach // IEEE Trans. Software Engineering. - No. 3, Vol. 21.- 1995.- P. 181-199.

19. Sun, J. BSM security auditing for Solaris servers. GIAC security essentials certification practical. - 2003. - 12 p. - Available: http://www.giac.org/practical/gsec/JohnSunGSEC.pdf

20. Eckmann, S. T., Vigna, G., Kemmerer, R. A. STATL: An attack language for state-based intrusion detection. - 2000. -24 p. - Available: http://citeseer.ist.psu.edu/452116.html

21. Kumar, S., Spafford, E. H. A pattern-matching model for misusefUintrusion detection. // Proc. 17 National Computer Security Conference. - 1994. - P. 11-21.

22. Lee, W., Stolfo, S. J., Mok, K. W. Adaptive Intrusion- Detection: A Data Mining Approach // Artificial Intelligence Review. - 2000. - Vol. 14, No. 6.-P. 533-567.

23. Fink, G., Levitt, K. Property-based testing of privileged programs // Proc. 10th Annual Computer Security Applications Conference. - IEEE, 1994. - P. 154-163.

24. Ko, C., Fink, G., Levitt, K. Automated detection of vulnerabilities in privileged programs by execution monitoring // Proc. 10th Annual Computer Security Applications Conference. - IEEE Comp. Soc. Press, 1994. - P. 134144.

25. Forrest, S., Hofmeyr, S. A., Somayaji, A., Longstaff, T. A. A sense of self for Unix processes // Proc. 1996 IEEE Symposium on Security and Privacy. - IEEE Comp. Soc. Press, 1996. - P. 120-128.

26. Ghosh, A. K., Wanken, J., Charron, F. Detecting anomalous and unknown intrusions against programs // Proc. Annual Computer Security Applications Conference (ACSAC"98), December 1998. - 1998. - P. 259-267.

27. Eslcin, E. et al. Adaptive model generation for intrusion detection. I I Proc. ACMCCS Workshop on Intrusion Detection and Prevention, Athens, Greece, 2000. - 2000. - Available: http://citeseer.ist.psu.edu/eskinOOadaptive.html.

28. Okazaki, Y., Sato, L, Goto, S. A new intrusion detection method based on process profiling. // Proc. IEEE Symposium on Applications and the Internet (SAINT"02). - 2002. - P. 82-91.

29. Cho, S.-B. Incorporating soft computing techniques into a probabilistic intrusion detection system. // IEEE Transactions on Systems, Man, and Cybernetics, Part C. - Vol. 32, No.2, 2002. - P. 154-160.

30. Yin, Q., Shen, L., Zhang, R., Li, X. A new intrusion detection methodfhbased on behavioral model. // Proc. 5 World Congress on Intelligent Control and Automation, June 15-19, 2004, Hangzhou, P. R. China. - 2004. - P. 4370-4374.

31. Gudkov, V., Johnson, J. E. New approach for network monitoring and intrusion detection // CoRR. - 2001. - Vol. cs.CR/0110019. - Available: http://arxiv.org/abs/cs.CR/0110019.

32. Gudkov, V., Johnson, J. E. Multidimensional network monitoring for intrusion detection // CoRR. - 2002. - Vol. cs.CR/0206020. - Available: http://arxiv.org/abs/cs.CR/0206020.

33. Barford, P., Plonka, D. Characteristics of network traffic flow anomalies // Proc. 1st ACM SIGCOMM Workshop on Internet Measurement, San Francisco, California, USA, November 1-2, 2001. - ACM, 2001. - P. 69-73.

34. Smaha, S. E. Haystack: an intrusion detection system // Proc. 4th IEEE Aerospace Computer Security Applications Conference. - Orlando, FL: IEEE, 1988. -P. 37-44.

35. Lane, T., Brodley, C. E. Sequence matching and learning in anomaly detection for computer security // Proc. AAAI-97 Workshop on AI Approaches to Fraud Detection and Risk Management. - 1997. - P. 43-49.

36. Lane, T., Brodley, C. E. An application of machine learning to anomaly detection // Proc. of the 12th National Information Systems Security Conference. - Vol. 1. - Gaithersburg, MD: NIST, 1997. - P. 366-380.

37. Lane, T. Filtering techniques for rapid user classification // Proc. AAAI-98/ICML-98 Joint Workshop on AI Approaches to Time-series Analysis. - Menlo Park, CA: AAAI Press, 1998. - P. 58-63.

38. Lane, T., Brodley, C. E. Temporal Sequence Learning and Data Reduction for Anomaly Detection // Proc. 5th ACM Conference on Computer and Communications Security. - Assoc. for Computing Machinery, 1998. - P. 150158.

39. Lane, T. Hidden Markov models for human/computer interface modeling // Proc. IJCAI-99 Workshop on Learning About Users. - 1999. - P. 35-^4.

40. Debar, H., Becker, M., Siboni, D. A neural network component for an intrusion detection system // Proc. 1992 IEEE Comp. Soc. Symposium on Research in Security and Privacy. - Los Alamos, CA: IEEE Comp. Soc. Press, 1992. -P. 240-250.

41. Cannady, J. Artificial neural networks for misuse detection // Proc. 1998 National Information Systems Security Conference (NISSC"98). - 1998. - P. 443-456.

42. Сидоров, И. Д., Аникеев, М. В. Нейросетевое обнаружение аномального поведения пользователя в консольном режиме ОС Linux // Материалы VI Международной научно-практической конференции «Информационная безопасность». - Таганрог: ТРТУ, 2004. - С. 159-161.

43. Tumoian, Е., Anikeev, М. Network-based detection of passive covert Channels in TCP/IP // LCN *05: Proc. IEEE Conf. on Local Computer Networks. - Washington, DC: IEEE Comp. Soc., 2005 - P. 802-809.

44. Elman, J. L. Finding structure in time // Cognitive Science. - 1990. - Vol. 14, No. 2. - P. 179-211.

45. Fink, G., Ko, C., Archer, M., Levitt, K. Towards a property-based testing environment with applications to security-critical software // Proceedings of the 4th Irvine Software Symposium. - 1994. - P. 39-48.

46. Warrender, C., Forrest, S., Pearlmutter, B. A. Detecting intrusions using system calls: alternative data models // Proc. IEEE Symposium on Security and Privacy. - Oakland, CA: IEEE Comp. Soc., 1999. - P. 133-145.

47. Hofmeyr, S. A., Forrest, S., Somayaji, A. Intrusion detection using sequences of system calls // Journal of Computer Security. - 1998. - Vol. 6, No. 3. -P. 151-180.

48. Cohen, W. W. Fast effective rule reduction // Machine Learning: the 12th Intl. Conference. - Morgan Kaufmann, 1995. - P. 115-123.

49. Yin, Q.-B. et al. Intrusion detection based on hidden Markov model. - Proc. 2nd Intl. Conference on Machine Learning and Cybernetics. Xi"an, November. 2003. - IEEE, 2003. - Vol. 5. - P. 3115-3118.

50. Wespi, A., Dacier, M., Debar, H. An intrusion-detection system"based" on the TEIRESIAS pattern-discovery algorithm // Proc. EICAR"99. - Aalborg, Denmark: Aalborg Universitet, 1999.- P. 1-15.

51. Rigoutsos, I., Floratos, A. Combinatorial pattern discovery in biological sequences: the TEIRESIAS algorithm // Bioinformatics. - 1998. - Vol.14, No. 1. -P. 55-67.

52. Marceau, C. Characterizing the behavior of a program using multiple-length N-grams // Proc. 2000 workshop on New security paradigms. - Ballycotton, County Cork, Ireland: ACM Press, 2000. - P. 101-110.

53. Ghosh, A., Wanken, J., Charron, F. Detecting anomalous and unknown intrusions against programs // Proc. 1998 Annual Computer Security Applications Conference (ACSAC"98). - Los Alamitos, CA: IEEE Comp. Soc, 1998. - P. 259-267.

54. Ghosh, A., Schwartzbard, A., Schatz, M. Learning program behavior profiles for intrusion detection // Proc. 1st USENIX Workshop on Intrusion Detection and Network Monitoring. - 1999. -P. 51-62.

55. Yeung, D., Ding, Y. Host-based intrusion detection using dynamic and static behavioral models // Pattern Recognition. - 2002. - Vol. 36. - P. 229243.

56. Al-Subaie, M., Zulkernine, M. Efficacy of hidden Markov models overthneural networks in anomaly intrusion detection // Proc. 30 Annual International Computer Software and Applications Conference (COMPSAC). - Chicago: IEEE CS Press, 2006. - P. 325-332.

57. Heberlein, L. T. Network security monitor. Final report. - Davis, CA: UC Davis, 1993. - 53 p. - Available: http://seclab.cs.ucdavis.edu/papers/NSM-final.pdf.

58. Paxson, V. Bro: a system for detecting network intruders in real-time // Computer Networks (Amsterdam, Netherlands: 1999). - 1999. - Vol. 31, No. 23-24.-P. 2435-2463.

59. Ilgun, K. USTAT: a real-time intrusion detection system for UNIX // Proc. 1993 IEEE Symposium on Research in Security and Privacy. - Oakland, CA: IEEE Comp. Soc, 1993. - P. 16-28.

60. Staniford-Chen, S. et al. GrIDS - A graph-based intrusion detection system for large networks // Proc. 19th National Information Systems Security Conference. - 1996. - P. 361-370.

61. Jou, Y. F, Gong, F., Sargor, C., Wu, S. F., Cleaveland, W. R. Architecture design of a scalable intrusion detection system for the emerging network infrastructure. Technical Report CDRL A005. - Releigh: North Carolina State University, 1997. - 42 p.

62. Somayaji, A., Forrest, S. Automated response using system-call delays // Proc. USENIX Security Syposium. - Denver: USENIX, 2000. - P. 185-197.

63. Рабинер, JI. Р. Скрытые марковские модели и их применение в избранных приложениях при распознавании речи: обзор // ТИИЭР. - 1989. - т. 77, №2. -С. 86-120.

64. Baum, L. Е., Sell, G. R. Growth functions for transformations and manifolds // Pacific Journal of Mathematics. - 1968. - Vol. 27, No. 2. - P. 211-227.

65. Sun, J. BSM Security Auditing for Solaris Servers. - Bethesda, Mayland: SANS, 2003. - 12 p. - Available: http://www.securitydocs.com/go/2329.

66. The Linux BSM project Е-resource. - 2001. - Available: http://linuxbsm.sourceforge.net.

67. TrustedBSD - OpenBSM Е-resource. - 2006. - Available: http://www.trustedbsd.org/openbsm.html.

68. Trusted Computer System Evaluation Criteria, DoD 5200.28-STD. - Fort Meade, MD: National Computer Security Center, 1985. - 116 p. - Available: http://csrc.nist.gov/publications/history/dod85.pdf.

69. Computer Immune Systems - Data Sets and Software Е-resource. - Albuquerque, NM: University of New Mexico, 2004. - Available: http://www.cs.unm.edu/~immsec/data-sets.htm.

70. Baras, J. S., Rabi, M. Intrusion detection with support vector machines and generative models. Technical report TR 2002-22. - College Park: University of Maryland, 2002. - 17 p.

71. Hoang, X. D., Hu, J., Bertok, P. A multi-layer model for anomaly intrusion detection using program sequences of system calls. - Proc. ICON"2003. The 11th IEEE Conference on Networks. - IEEE, 2003. - P. 531-536.

72. Raj wade, A. Some experiments with hidden Markov models. Technical report. - University of Florida, 2005. - 18 p. - Available: http://www.cise.ufl.edu/~avr/HMM.pdf.

73. Gtinter, S., Bunlce, H. Optimizing the number of states, training iterations and Gaussians in an HMM-based handwritten word recognizer // Proc. 7th Intl. Conf. on Document Analysis and Recognition, Edinburgh, Scotland. - 2003. - Vol. 1. - P. 472-476.

74. Аникеев, M. В. Выбор достаточного числа состояний в скрытых марковских моделях для решения задач обнаружения аномалий // Известия ТРТУ. -2005. -№9. -С. 133.

75. Аникеев, М. В. Метод обнаружения аномалий на основе скрытых марковских моделей с поиском оптимального числа состояний // Материалы VII Международной научно-практической конференции «Информационная безопасность». - Таганрог, ТРТУ: 2005. - С. 58-60.

76. Noise reduction in speech application / Edited by G. M. Davis. - Boca Raton, FL: CRC Press LLC, 2002. - 432 p.

77. Ронжин, A. JL, Карпов, А. А., Ли, И. В. Система автоматического распознавания русской речи SIRIUS // Научно-теоретический журнал «Искусственный интеллект». - 2005. - №3. - С. 590-601.

78. Eickeller, S., Mtiller, S., Rigoll, G. Recognition of JPEG compressed face images based on statistical methods // Image and Vision Computing. - 2000. - Vol. 18. -P. 279-287.

79. Elms, A. J., Procter, S., Illingworth, J. The advantage of using and HMM-based approach for faxed word recognition // International Journal on Document Analysis and Recognition (IJDAR). - 1998. - No. 1(1). - P. 18-36.

80. Kulp, D., Haussler, D., Reese, M. G., Eeckman, F. H. A generalized hidden Markov model for the recognition of human genes in DNA // Proc. 4th Intl. Conf. on Intelligent Systems for Molecular Biology. - 1996. - P. 134-142.

81. Henderson, J., Salzberg, S., Fasman, К. H. Finding genes in DNA with a hidden Markov model // Journal of Computational Biology. - 1997. - Vol. 4, No. 2. -P. 127-142.

82. Моттль, В. В., Мучник, И. Б. Скрытые марковские модели в структурном анализе сигналов. -М.: Физматлит, 1999. - 352 с.

83. Turin, W., van Nobelen, R. Hidden Markov modeling of flat fading channels // IEEE Journal on Selected Areas is Communications. - 1998. - Vol. 16. -P. 1809-1817.

84. Nechyba, M. C., Xu, Y. Stochastic similarity for validating human control strategy models // IEEE Trans. Robotics and Automation. - 1998. - Vol. 14, Issue 3, -P. 437-451.

85. Mangold, S., Kyriazakos, S. Applying pattern recognition techniques based on hidden Markov models for vehicular position location in cellular networks // Proc. IEEE Vehicular Technology Conference. - 1999. - Vol. 2. - P. 780-784.

86. Chari, S. N., Cheng, P. C. BlueBoX: a policy-driven host-based intrusion detection system // ACM Trans, on Information and System Security. - 2003. - Vol. 6. - P. 173-200.

87. Kang, D.-K., Fuller, D., Honavar, V. Learning classifiers for misuse detection using a bag of system calls representation // Lecture Notes in Computer Science. -2005, -Vol. 3495. -P. 511-516.

88. Valdes, A., Skinner, K. Probabilistic alert correlation // Lecture Notes in Computer Science. - 2001. - Vol. 2212. -P. 54-68.

89. Goldman, R. P., Heimerdinger, W., Harp, S. A. Information modeling for intrusion report aggregation // Proc. of the DARPA Information Survivability Conference and Exposition (DISCEX II). -Anaheim: IEEE Comp. Soc., 2001. - P. 329-342.

90. Cuppens, F., Miége, A. Alert correlation in a cooperative intrusion detection framework // IEEE Symposium on Security and Privacy. - 2002. -P. 187-200.

91. Turin, W. Unidirectional and parallel Baum-Welch algorithms // IEEE Trans. Of Speech and Audio Processing. - 1998. - Vol. 6, issue 6. - P. 516523.

92. Espinosa-Manzo, A., López-López, A., Arias-Estrada, M. O. Implementing hidden Markov models in a hardware architecture // Proc. Intl. Meeting of Computer Science ENC "01, Aguascalientes, México, September 15-19 2001. -Vol. II. -2001. -P. 1007-1016.

93. Anikeev, M., Makarevich, O. Parallel implementation of Baum-Welch algorithm // Proc. Workshop on Computer Science and Information Technologies (CSIT"2006), Karlsruhe, Germany, September 28-29, 2006. - Vol. 1. - Ufa: USATU, 2006. - P. 197-200.

94. Message Passing Interface Е-resource. - 2007. - Available: http://www-unix.mcs.anl.gov/mpi.

95. Argonne National Laboratory. Mathematics and computer science division. Е-resource. - 2007. - Available: http://www.mcs.anl.gov.

96. MPICH2 home page. Е-resource. - 2007. - Available: http://www-unix.mcs.anl.gov/mpi/mpich.

97. Ш.Гэри, M., Джонсон, Д. Вычислительные машины и труднорешаемые задачи. - М.: Мир, 1982. - 412 с.

98. ITU-TS Recommendation Z.120: Message-sequence chart (MSC), 04/2004. - Geneva: International Telecommunication Union, 2004. - 136 p.

99. Шпаковский, Г. И., Серикова, Н. В. Программирование для многопроцессорных систем в стандарте MPI. - Минск: БГУ, 2002. - 323 с.

Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.

480 руб. | 150 грн. | 7,5 долл. ", MOUSEOFF, FGCOLOR, "#FFFFCC",BGCOLOR, "#393939");" onMouseOut="return nd();"> Диссертация - 480 руб., доставка 10 минут , круглосуточно, без выходных и праздников

Когос Константин Григорьевич. Метод противодействия утечке информации по скрытым каналам, основанным на изменении длин передаваемых пакетов: диссертация... кандидата технических наук: 05.13.19 / Когос Константин Григорьевич;[Место защиты: Федеральное государственное автономное образовательное учреждение высшего профессионального образования "Национальный исследовательский ядерный университет "МИФИ"].- Москва, 2015.- 116 с.

Введение

1 Исследование способов построения и противодействия утечке информации по скрытым каналам в сетях пакетной передачи данных 11

1.1 Подходы к определению скрытых каналов 11

1.2 Скрытые каналы в сетях пакетной передачи данных 19

1.3 Противодействие утечке информации по скрытым каналам

1.3.1 Идентификация скрытых каналов 24

1.3.2 Анализ скрытых каналов 30

1.3.3 Ограничение пропускной способности и подавление скрытых каналов 33

1.3.4 Обнаружение скрытых каналов 37

1.3.5 Противодействие утечке информации по сетевым скрытым каналам 39

1.4 Выводы 41

2 Методика анализа и оценки пропускной способности скрытых каналов при введении методов ограничения пропускной способности 43

2.1 Оценка максимальной пропускной способности скрытого канала при поточном шифровании трафика 43

2.2 Оценка максимальной пропускной способности скрытого канала при блочном шифровании трафика 47

2.3 Методика анализа и оценки пропускной способности скрытых каналов в условиях противодействия 51

2.4 Выводы 57

3 Метод ограничения пропускной способности скрытых каналов путем увеличения длин передаваемых пакетов 58

3.1 Способ противодействия утечке информации путем случайного увеличения длин передаваемых пакетов 58

3.2 Оценка пропускной способности скрытого канала в условиях противодействия 59

3.3 Построение скрытого канала, при котором длины передаваемых пакетов принимают равномерно распределенные значения 62

3.4 Оценка пропускной способности скрытого канала, при котором длины передаваемых пакетов принимают равномерно распределенные значения 67

3.5 Оценка пропускной способности скрытого канала с заданным уровнем ошибок, при котором длины передаваемых пакетов принимают равномерно распределенные значения 68

3.6 Выводы 70

4 Метод ограничения пропускной способности скрытых каналов путем генерации фиктивного трафика 71

4.1 Способ противодействия утечке информации путем генерации фиктивного трафика 71

4.2 Оценка пропускной способности скрытого канала при детерминированной генерации фиктивного трафика 73

4.3 Оценка пропускной способности скрытого канала при случайной генерации фиктивного трафика 79

4.4 Выводы 86

5 Применение разработанных методов ограничения пропускной способности скрытых каналов 87

5.3 Внедрение результатов диссертационной работы 95

5.4 Выводы 97

Заключение 98

Список сокращений и условных обозначений 100

Список литературы 101

Введение к работе

Актуальность работы. На современном этапе развития информационных технологий и массового внедрения средств вычислительной техники в различные области и сферы деятельности человека постоянно возрастает актуальность проблем информационной безопасности, от качества решения которых во многом зависит успешное функционирование государственных и коммерческих организаций.

В настоящее время и на прогнозируемую перспективу сохранится тенденция широкого использования сетей пакетной передачи данных, что, в свою очередь, делает весьма значимой угрозу негласного использования нарушителем особенностей протокола IP для скрытой передачи информации ограниченного доступа по каналам связи, выходящим за пределы объектов информатизации, на которых она обрабатывается.

Необходимость создания и постоянного совершенствования способов противодействия утечке информации по так называемым скрытым каналам обусловлена и тем, что такие каналы могут быть построены в условиях применения традиционных способов сетевой защиты, заключающихся в межсетевом экранировании, туннелировании трафика и др. Исследования показывают, что данная угроза сохраняется даже при передаче информации в зашифрованном виде. Согласно отечественному стандарту ГОСТ Р 53113.2-2009, информация, связанная с размерами пакетов и временными интервалами между их появлением, может быть использована для организации скрытого канала в условиях туннелирования и шифрования трафика. Вопросами анализа скрытых каналов занимаются такие отечественные и зарубежные ученые, как Аникеев М.В., Грушо А.А., Матвеев С.В., Тимонина Е.Е., Зандер С., Кабук С., Кеммерер Р.А., Лэмпсон Б.В., Миллен Ж.К. и другие.

Значимость диссертационной работы подтверждена Перечнем приоритетных проблем научных исследований в области обеспечения информационной безопасности Российской Федерации (пункты 45, 48, 74), наличием в стандарте ГОСТ Р ИСО/МЭК 15408-2-2013 класса функциональных требований, касающихся ограничения и подавления скрытых каналов, а также регламентируемым ГОСТ Р 53113 подходом к противодействию утечке информации по скрытым каналам.

Особую актуальность рассматриваемой угрозе, связанной с утечкой информации по скрытым каналам, придают известные результаты исследований, согласно которым противник, который знает схему контроля в системе защиты, может создать невидимый для контролирующего субъекта скрытый канал как для управления программно-аппаратным агентом в компьютерной системе, так и для общения программно-аппаратных агентов в открытой среде между собой.

Метод, позволяющий гарантировать отсутствие в системе сетевых скрытых каналов,
заключается в построении и поддержании замкнутых доверенных программно-аппаратных
сред. Внедрение агента нарушителя в такие системы должно быть невозможно на любой стадии
их жизненного цикла. При этом, ввиду повсеместного использования импортного оборудования
и программного обеспечения, такой метод зачастую практически не реализуем, так как агент
нарушителя может быть внедрен как на оконечных, так и на промежуточных узлах на пути
следования трафика. Передача данных по каналам связи в зашифрованном виде не решает
проблему утечки информации по некоторым классам сетевых скрытых каналов. Вместе с тем,
исследование даже известного кода на предмет обнаружения программных закладок
представляет собой трудоемкую научно-техническую задачу и становится практически
невозможным при частом внесении изменений в программное обеспечение. Таким образом,
реализация рассмотренного подхода, позволяющего предотвратить утечку информации по
сетевым скрытым каналам, является нетривиальной задачей и не в любой системе может быть
доведена до практического исполнения. Другой способ исключения условий

функционирования сетевых скрытых каналов заключается в нормализации параметров пакетной передачи данных, то есть, в отправке пакетов фиксированной длины с фиксированными заголовками через равные промежутки времени, что приводит к существенному снижению эффективности использования пропускной способности каналов связи, увеличению стоимости их применения.

В силу отмеченных причин, в соответствии с ГОСТ Р 53113.1-2008, в случаях, когда регулирующие органы или собственник информации допускают возможность утечки некоторых объемов данных, рекомендуется использовать методы ограничения пропускной способности скрытых каналов. Такие методы применимы, если пропускная способность скрытого канала может быть ограничена до величины, меньшей установленного допустимого значения. Целесообразность использования указанных методов подтверждена данными компании IBM, согласно которым допустимо функционирование скрытых каналов с пропускной способностью до 0,1 бит/с, но в некоторых случаях возможно наличие потенциальных скрытых каналов с пропускной способностью до 100 бит/с. Применение рассмотренных методов на практике, в отличие от методов подавления скрытых каналов, позволяет обеспечивать высокую эффективную пропускную способность канала связи, гибко управлять эксплуатационными и стоимостными характеристиками телекоммуникационных систем. Данный подход позволяет гарантированно ограничить пропускную способность широкого класса скрытых каналов, независимо от способа их организации. Для построения таких методов необходимо получить и исследовать оценки пропускной способности скрытых каналов, функционирующих в условиях отсутствия и применения средств противодействия.

Кроме того, оценка пропускной способности скрытых каналов и оценка опасности, которую несет их скрытое функционирование, является одним из этапов по определению степени опасности скрытого канала в соответствии с ГОСТ Р 53113.1-2008.

В настоящей работе исследованы скрытые каналы, основанные на изменении длин передаваемых пакетов, так как, с одной стороны, такие каналы могут быть построены в условиях шифрования трафика, с другой стороны, их пропускная способность может быть значительно выше, чем пропускная способность каналов по времени. Несмотря на то, что известны способы реализации анализируемых методов противодействия утечке информации по скрытым каналам путем увеличения длин пакетов и генерации фиктивного трафика, отсутствуют рекомендации по выбору значений параметров данных методов, а также неизвестны оценки остаточной пропускной способности скрытых каналов в условиях противодействия. Поэтому настоящая работа, посвященная разработке и исследованию методов противодействия утечки информации по скрытым каналам, основанным на изменении длин передаваемых пакетов, является актуальной и представляет как научный, так и практический интерес.

Целью диссертационной работы является повышение защищенности информационных систем путем разработки метода ограничения пропускной способности скрытых каналов, основанных на изменении длин пакетов.

В соответствии с поставленной целью в диссертационной работе решаются следующие задачи:

анализ существующих способов построения скрытых каналов в сетях пакетной передачи данных и способов противодействия им;

разработка методики анализа и оценки пропускной способности скрытых каналов при применении методов противодействия;

разработка и оценка количественных характеристик методов противодействия утечке информации по скрытым каналам, основанным на изменении длин пакетов, путем случайного увеличения длин пакетов, детерминированной и случайной генерации фиктивного трафика.

Основными методами исследования , используемыми в работе, являются методы теории информации, теории вероятности, дифференциального и интегрального исчисления.

Научная новизна диссертационной работы заключается в следующем.

1. Предложена методика анализа и оценки пропускной способности скрытых каналов с использованием методов теории информации в условиях их ограничения, позволяющая, в

отличие от существующих подходов, исследовать зависимость характеристик скрытых каналов от параметров способа противодействия.

Разработаны методы противодействия утечке информации по скрытым каналам, основанным на изменении длин передаваемых пакетов, путем их случайного увеличения, детерминированной и случайной генерации фиктивного трафика, отличающиеся от известных тем, что они применимы в случае, когда допускается наличие в информационной системе скрытого канала с приемлемым значением пропускной способности.

Впервые получены оценки пропускной способности скрытых каналов, основанных на изменении длин передаваемых пакетов, в отсутствие противодействия и в условиях предотвращения утечки информации.

Теоретическую значимость представляют:

методы противодействия утечке информации по скрытым каналам, основанным на изменении длин пакетов, путем случайного увеличения длин пакетов, подлежащих отправке, детерминированной и случайной генерации фиктивного трафика;

методика анализа и оценки пропускной способности скрытых каналов при применении методов ограничения пропускной способности;

формулы для расчета значений параметров предложенных методов противодействия, при которых пропускная способность скрытого канала не превышает заданного значения.

Практическую значимость представляют:

методы ограничения пропускной способности скрытых каналов, основанных на изменении длин пакетов, путем случайного увеличения длин пакетов, подлежащих отправке, детерминированной и случайной генерации фиктивного трафика;

оценка максимальной пропускной способности скрытого канала, основанного на изменении длин передаваемых пакетов, при отсутствии противодействия в условиях поточного и блочного шифрования трафика;

методика анализа и оценки пропускной способности скрытого канала в условиях введения методов противодействия;

программные средства для расчета значений параметров предложенных методов противодействия, позволяющих понизить остаточную пропускную способность скрытого канала до заданного значения.

Внедрение результатов исследований. Практическая значимость результатов

диссертации подтверждена тремя актами о внедрении. Разработанные автором методы противодействия утечке информации по скрытым каналам внедрены в деятельность ЗАО «Голлард» по модернизации программного комплекса «Сито», предназначенного для

подавления функционирования скрытых логических каналов. Результаты диссертационной работы внедрены также в научно-исследовательские и опытно-конструкторские работы, выполняемые ООО «Защита информации». Теоретические результаты диссертации внедрены в образовательный процесс кафедры «Криптология и дискретная математика» НИЯУ МИФИ в рамках учебного курса «Криптографические протоколы и стандарты».

Публикации и апробация работы. Результаты диссертационной работы изложены в 15 опубликованных и приравненных к ним работах, в том числе в пяти научных статьях в изданиях, включенных в Перечень ведущих рецензируемых научных журналов, четырех научных статьях в журналах, индексируемых международной системой научного цитирования Scopus, из них одна в журнале, индексируемом международной системой научного цитирования Web of Science, также имеются два свидетельства о государственной регистрации программ для ЭВМ. Результаты работы докладывались на конференциях и семинарах различного уровня, в том числе на:

23-й и 24-й научно-технических конференциях «Методы и технические средства обеспечения безопасности информации» (Санкт-Петербург, 2014, 2015 гг.);

ХХII Всероссийской научно-практической конференции «Проблемы информационной безопасности в системе высшей школы» (Москва, 2015 г.);

научно-практическом семинаре в Центре специальных разработок Министерства обороны Российской Федерации (Москва, 2015 г.);

14-й Всероссийской конференции «Сибирская научная школа-семинар с международным участием «Компьютерная безопасность и криптография» SIBECRYPT’15 (Новосибирск, 2015 г.);

The International Conference on Open and Big Data OBD 2015 (Рим, Италия, 2015 г.);

The 5 th International Conference on IT Convergence and Security ICITCS 2015 (Куала Лумпур, Малайзия, 2015 г.);

The 2 nd Workshop on Emerging Aspects in Information Security EAIS’15 (Лодзь, Польша, 2015 г.);

The 8 th International Conference on Security of Information and Networks SIN 2015 (Сочи, 2015 г.).

Основные положения, выносимые на защиту:

оценка максимальной пропускной способности скрытых каналов, основанных на изменении длин пакетов, при поточном и блочном шифровании трафика;

методика анализа и оценки пропускной способности скрытых каналов при введении методов ограничения пропускной способности;

методы противодействия утечке информации по скрытым каналам, основанным на изменении длин пакетов, путем случайного увеличения длин передаваемых пакетов, детерминированной и случайной генерации фиктивного трафика;

выражения для расчета значений параметров предложенных методов противодействия утечке информации по скрытым каналам и рекомендации по их выбору.

Структура и объем работы. Диссертация состоит из введения, пяти разделов, заключения, списка литературы, включающего 148 наименований, и двух приложений. Диссертация изложена на 114 страницах с 27 рисунками и 12 таблицами, не включая приложения.

Противодействие утечке информации по скрытым каналам

Схема непрямого скрытого канала по памяти Данные могут также быть скрыты в заполнении кадра или пакета незначащей информацией, если длина кадра или пакета должна быть не меньше определенного значения. Например, такая скрытая передача данных возможна в случае использования протокола Ethernet, в котором кадры должны быть заполнены до минимальной длины 60 байт. Если условия использования протокола не предусматривают конкретные значения для байтов заполнения, то могут быть использованы любые данные . Аналогичным образом, скрытая передача информации может быть организована для протоколов IPv4, IPv6 и TCP .

Изменение адресов получателей в последовательно передаваемых пакетах для построения скрытого канала предложено авторами . Сумму всех битов передаваемого пакета предложено использовать для скрытой передачи информации автором . Информация может быть передана путем изменения порядка передачи N пакетов через X потоков протокола TCP . Если представить, что пакеты - это шары, а потоки - урны, то представленный скрытый канал напрямую связан с задачей размещения N шаров по X урнам. Преднамеренное удаление отправителем некоторых пакетов, подлежащих отправке, применено для построения скрытого канала с низкой пропускной способностью в .

Скрытые статистические каналы детально проанализированы авторами . Примером скрытого статистического канала может являться передача некоторого маловероятного пакета в заранее заданный злоумышленником интервал времени.

Скрытая информация может быть передана путем изменения скорости передачи пакетов . Пропускная способность такого скрытого канала равна log2r бит в течение одного

временного интервала, где г - количество различных скоростей передачи пакетов. Бинарный скрытый канал по скорости передачи пакетов исследован авторами .

Впервые использовать длины межпакетных интервалов для организации скрытых каналов было предложено в . Авторами предложена технология JitterBug для построения бинарных скрытых каналов, основанных на изменении длин межпакетных интервалов. Другая схема скрытой передачи информации с использованием длин межпакетных интервалов исследована в . Авторами даны рекомендации по выбору значений параметров кодирования, при которых пропускная способность скрытого канала принимает наибольшее значение. В предложен скрытый канал, основанный на изменении длин межпакетных интервалов, вероятность обнаружения которого приблизительно равна 9%, вероятность ошибки второго рода не превышает 0,5%.

Авторами предложено переупорядочивание последовательности пакетов, подлежащих отправке, на стороне отправителя для построения скрытого канала. Так как существует п! способов переупорядочить п пакетов, то пропускная способность такого канала равна (log2 п!) / п бит на пакет.

В скрытом канале, описанном автором , отправитель посылает большое количество запросов на сервер, чтобы передать «1», либо бездействует, чтобы передать «0». Получатель по истечении каждого временного интервала посылает запросы на сервер и измеряет время ответного сигнала для восстановления переданной информации.

Авторами разработан скрытый канал, основанный на том, что температура процессора прямо пропорциональна количеству обработанных пакетов за единицу времени, а отклонения системных часов зависят от температуры процессора. В течение каждого временного интервала скрытый отправитель либо отправляет пакеты на промежуточный узел, либо бездействует. Скрытый получатель оценивает отклонение системных часов промежуточного узла, анализируя значения меток времени в полученных от него пакетах, например, используя поля «Метка времени» заголовков полученных пакетов протокола TCP. В ряде работ предложены схемы встраивания в длины межпакетных интервалов отличительной информации для отслеживания трафика, проходящего через прокси-серверы, анонимные сети.

Впервые изменять длину кадров канального уровня для скрытой передачи информации предложено авторами : отправителю и получателю известно правило, согласно которому каждому байту скрытого сообщения соответствует определенная длина кадра. Таким образом, требуется 256 различных длин кадров для описания всевозможных значений байтов передаваемого сообщения. Таким скрытые каналы требуют особого внимания, так как далее показано, что их пропускная способность может превышать 1% и 0,1% пропускной способности канала связи при использовании протокола сетевого уровня IPv4 и IPv6 соответственно.

Авторами предложен скрытый канал, в котором отправитель и получатель разделяют периодически обновляемую матрицу, элементы которой - уникальные неупорядоченные длины пакетов. Отправитель по битам скрытно передаваемого сообщения определяет строку матрицы и случайным образом выбирает длину пакета из данной строки, получатель - находит длину принятого пакета в матрице и по номеру строки восстанавливает биты переданного сообщения.

Предложенная в схема усовершенствована авторами : перед началом скрытой передачи информации отправитель и получатель формируют динамически обновляемый справочник длин пакетов, фиксируя длины пакетов трафика, характерного для отсутствия скрытого канала. Для скрытой передачи сообщения отправитель посылает пакет, длина которого выбрана из справочника по алгоритму, известному отправителю и получателю. Длина следующего пакета равна сумме длины предыдущего пакета и числа, соответствующего битам скрытно передаваемого сообщения. В данная схема улучшена путем существенного понижения емкостной и временной сложности декодирования, так как получатель не хранит весь справочник целиком. Авторами предложено совместное использование длин и информационного наполнения пакетов для построения скрытого канала с высокой пропускной способностью.

Представленные схемы скрытой передачи информации, использующие изменение длин пакетов, являются, с одной стороны, сложно обнаруживаемыми, с другой стороны, могут иметь достаточно высокую пропускную способность в сравнении со скрытыми каналами по времени. Это обусловлено тем, что скрытые каналы по времени являются каналами с шумом, поскольку время следования пакета - случайная величина, а также из-за того, что вероятность потери пакетов отлична от нуля.

Оценка максимальной пропускной способности скрытого канала при блочном шифровании трафика

Шифрование трафика - традиционный способ защиты передаваемой по сети информации ограниченного доступа, однако скрытые каналы, основанные на изменении длин пакетов, исследуемые в настоящей работе, могут быть построены в условиях шифрования трафика . Как правило, ввиду высокого объема шифрованных данных, а также необходимости поддержки высокой скорости зашифрования и расшифрования, для обеспечения конфиденциальности передаваемых данных применяют симметричные алгоритмы шифрования. По принципу обработки информации различают поточные и блочные симметричные алгоритмы шифрования . Данный подраздел посвящен оценке максимальной пропускной способности скрытых каналов, основанных на изменении длин передаваемых пакетов, при поточном шифровании трафика. Вопросы применения методов поточного шифрования для защиты трафика исследовали, например, авторы .

При использовании поточных алгоритмов шифрования длина сообщения не изменяется, поэтому для исследования выбран скрытый канал, построенный следующим образом. Пусть длины пакетов принимают значения на множестве Nt +L \Nj ч, фикс, LGN. Тогда наибольшую пропускную способность имеет скрытый канал, в котором для передачи символа «/ » отправитель посылает пакет длины 1фикс+К г є „-і U{0}, neN - параметр скрытого канала, Nx - множество натуральных чисел от 1 до х. Для оценки пропускной способности скрытого канала v здесь и далее выбран метод, основанный на оценке взаимной информации случайных величин X, 7, описывающих входные и выходные характеристики скрытого канала соответственно: H(Y\X) = - Y, P«U) E A««(/Wlo82A«(/ b) условная энтропия случайной величины 7 относительно случайной величины X, pex(i) - вероятность отправки символа «/ », Реьа(і) - вероятность распознавания получателем символа «/ », рвЬа(і\І) - условная вероятность распознавания получателем символа «/ » при отправке символа «/ ».

При равновероятном выборе передаваемых по скрытому каналу символов энтропия случайной величины 7 определяется значением параметра скрытого канала п и равна

Очевидно, при увеличении значения п увеличивается как средняя длина передаваемых пакетов, так и количество битов, которое несет передача одного пакета по скрытому каналу. Среднее время т передачи пакета определяется выражением: что достигается при средней длине передаваемых пакетов, равной. Таким образом, пропускная способность v скрытого канала определяется следующим

Для нахождения значения параметра скрытого канала п как функции от параметра метода противодействия а, при котором выражение принимает наибольшее значение, предлагается перейти от дискретной переменной п к непрерывной переменной n, определенной на полуинтервале ll,+oo). Функция от переменной n определена и непрерывна на данном множестве, что позволяет найти экстремум путем дифференцирования данной функции. Производная от функции v ; по переменной n определяется следующим

Заметим, что параметр скрытого канала n принимает целочисленные значения, поэтому фактическое значение параметра скрытого канала n0 необходимо выбирать следующим образом:

Как правило, lфикс определяет сумму длин заголовков сетевого и канального уровней модели взаимодействия открытых систем. Так, например, при использовании IPv4 в качестве протокола сетевого уровня сумма длин заголовков сетевого и канального уровней принимает значение не менее 34 байт, если технология канального уровня - Ethernet. Аналогичная величина при использовании протокола IPv6 равна 54 байтам. Тогда, как видно из таблицы 8, при поточном шифровании трафика при использовании протокола IPv4 пропускная способность скрытого канала максимальна при и=138 и достигает примерно 0,021/?, при использовании протокола IPv6 пропускная способность скрытого канала максимальна при п=201 и достигает примерно 0,014/?, где /? - пропускная способность канала связи. Таблица 8 - Пропускная способность скрытых каналов при поточном шифровании трафика

Данные результаты подтверждают актуальность исследования методов противодействия утечке информации по скрытым каналам, так как показывают, что при пропускной способности канала связи 1 Гбит/с может быть построен скрытый канал с пропускной способностью более 10 Мбит/с.

При блочном шифровании данных открытый текст разбивается на блоки одинакового размера, определяемого алгоритмом шифрования, которые зашифровываются независимо с помощью подстановки шифра. Расшифрование происходит аналогично. Таким образом, если 1Ш - длина блока, то открытый текст перед началом зашифрования должен иметь длину, кратную 1Ш. Способы дополнения открытого текста до необходимой длины описаны, например, в . Поскольку новый отечественный стандарт на алгоритм шифрования является симметричным блочным шифром с размерами блоков 64 и 128 бит, то полученные далее результаты применимы и в случае шифрования канала связи с использованием указанного алгоритма. Если открытый текст имеет длину /0, то после зашифрования длина шифрованного

Так как при таком способе построения скрытого канала увеличение длин пакетов до значений, кратных 1Ш, не приводит к ошибкам, то H(Y\X) = 0. Очевидно, при росте значения п увеличивается как средняя длина передаваемых пакетов, так и количество битов, которое несет передача одного пакета по скрытому каналу. Тогда среднее время т передачи пакета определяется выражением:

Построение скрытого канала, при котором длины передаваемых пакетов принимают равномерно распределенные значения

По рассуждениям, приведенным выше, выражение / (&) принимает наибольшее значение при выборе параметра Ь, равным единице. При таком выборе значения параметра скрытого канала Ъ скрытый канал построен следующим образом: для передачи символа «/ » отправитель посылает пакет длины 1фиКс+К /є-Л U{0}, п - параметр скрытого канала. В

данном случае введение противодействия приводит к возникновению ошибок, причем вероятность верного распознавания получателем переданного символа равна. а + \ При таком выборе значения параметра скрытого канала Ъ условные вероятности распознавания получателем переданного символа принимают следующие значения:

Параметр скрытого канала n принимает целочисленные значения, поэтому фактическое значение параметра скрытого канала n0 необходимо выбирать следующим образом:

Таким образом, в данном подразделе оценена остаточная пропускная способность скрытого канала, основанного на изменении длин пакетов, при случайном увеличении длин пакетов, подлежащих отправке. Необходимое условие построения исследованного скрытого канала - равномерное распределение на множестве длин передаваемых пакетов. Выбрана наилучшая, с точки зрения значения остаточной пропускной способности, схема построения скрытого канала. Однако уровень ошибок при передаче данных по построенному скрытому каналу равен

При наличии допустимого уровня ошибок параметры скрытого канала необходимо выбирать иным образом, что приведет к понижению его пропускной способности. В следующем подразделе исследована остаточная пропускная способность скрытого канала при наличии допустимого уровня ошибок при передаче данных по скрытому каналу и равномерном распределении на множестве длин передаваемых пакетов.

Оценка пропускной способности скрытого канала с заданным уровнем ошибок, при котором длины передаваемых пакетов принимают равномерно распределенные значения

В предыдущем подразделе дана оценка максимальной пропускной способности скрытого канала, при котором длины передаваемых пакетов равномерно распределены на некотором множестве, которая достигается при значении параметра скрытого канала Ь, равного единице. Однако при таком способе построения скрытого канала вероятность верного распознавания переданного символа составляет лишь. Уровень ошибок может быть важным параметром, так как использование скрытых каналов зачастую приводит к утечке критической информации, такой как криптографические ключи, пароли и так далее. Пусть задано значение р - допустимого уровня ошибок при передаче данных по скрытому каналу. Тогда значение параметра скрытого канала Ъ следует выбирать равным

Таким образом, в настоящем подразделе исследован скрытый канал, при построении которого длины передаваемых пакетов принимают равномерно распределенные значения, а уровень ошибок не превышает заданной величины. Выбрана наилучшая, с точки зрения значения остаточной пропускной способности скрытого канала, схема кодирования с учетом предъявляемых требований. Оценена остаточная пропускная способность скрытого канала в условиях противодействия.

В данном разделе разработан метод противодействия утечке информации по скрытым каналам в сетях пакетной передачи данных путем увеличения длины каждого пакета случайным образом. При известной схеме реализации данного метода противодействия нерешенной задачей оставалась оценка остаточной пропускной способности скрытого канала при введении противодействия. Увеличение длин пакетов не приводит к рассинхронизации отправителя и получателя, однако скрытые каналы, устойчивые к данному методу противодействия, должны быть построены специальным образом, предложенным в работе.

Дана оценка максимальной пропускной способности скрытого канала, основанного на изменении длин пакетов, при случайном увеличении длин пакетов, подлежащих отправке. Особое внимание уделено пропускной способности скрытых каналов, при которых длины передаваемых пакетов принимают равномерно распределенные значения, уровню ошибок при передаче данных. Полученные результаты позволяют применять предложенный метод противодействия путем случайного увеличения длин пакетов, подлежащих отправке, при наличии допустимой пропускной способности скрытого канала, минимизировав дополнительную нагрузку на канал связи. 4 Метод ограничения пропускной способности скрытых каналов путем генерации фиктивного трафика

Данный раздел посвящен разработке и исследованию метода противодействия утечке информации по скрытым каналам путем генерации фиктивного трафика. Предложено два способа генерации фиктивного трафика: детерминированным и случайным образом. Для обоих случаев получены выражения для оценки остаточной пропускной способности бинарного скрытого канали при синхронизации путем отправки пакетов специального вида.

При детерминированной генерации фиктивного трафика после передачи k пакетов с информационным наполнением отправляется фиктивный пакет случайной длины, k - параметр метода противодействия, отвечающий за частоту отправки фиктивных пакетов. Эффективная пропускная способность канала связи при введении данного метода противодействия равна

Оценка пропускной способности скрытого канала при случайной генерации фиктивного трафика

Ввиду сложности аналитических зависимостей, связывающих значения параметров скрытого канала и метода противодействия, лишь в некоторых случаях возможно получение формул для оценки значения параметра метода противодействия, в иных случаях необходимо воспользоваться расчетными данными, методами визуализации либо иными подходами, в зависимости от исследуемого метода противодействия и типа скрытых каналов.

В настоящем разделе даны рекомендации по выбору значений параметров разработанных методов утечке информации ограниченного доступа по скрытым каналам, основанным на изменении длин передаваемых пакетов. Ввиду того, что в ряде случаев определять значения параметров разработанных методов противодействия для ограничения пропускной способности скрытого канала необходимо расчетным способом с использованием сложных аналитических зависимостей, реализованы программные средства по расчету необходимых значений параметров предложенных методов противодействия, позволяющих предотвратить утечку информации ограниченного доступа, понизив дополнительную нагрузку на канал связи. Получены два свидетельства о государственной регистрации программ для ЭВМ , представленные в Приложениях 1, 2, которые позволяют автоматизировать выбор значений параметров методов противодействия путем случайного увеличения длин пакетов и генерации фиктивного трафика соответственно.

Рассмотрим метод противодействия утечке информации по скрытым каналам, основанным на изменении длин передаваемых пакетов, путем их увеличения случайным образом, предложенный в третьем разделе диссертации. Обобщая полученные зависимости, получаем три случая, для которых определена пропускная способность скрытых каналов в условиях противодействия: - для канала, имеющего наибольшую пропускную способность при введении противодействия (K1): - для канала, имеющего наибольшую пропускную способность при введении противодействия и условии, что длины передаваемых пакетов принимают равномерно распределенные значения (K2): (2L+a-l - для канала, имеющего наибольшую пропускную способность при введении противодействии, и условиях, что длины передаваемых пакетов принимают равномерно распределенные значения и уровень ошибок не превышает заданного значения (K3): +

Значения параметров метода противодействия путем случайного увеличения длин передаваемых пакетов для ограничения пропускной способности данных скрытых каналов предлагается определять расчетным способом. В таблице 12 представлена зависимость между значениями параметров скрытого канала, пропускной способности скрытого канала и параметра метода противодействия.

В некоторых приложениях представляет интерес случай, когда длины передаваемых пакетов принимают значения на заданном множестве. Пусть при построении скрытого канала длины передаваемых пакетов равномерно распределены на множестве N,_, \N, _,. В 1фшс+- 1 условиях противодействия скрытый канал следует организовать следующим образом: для передачи символа «/ » отправитель посылает пакет длины /єЖ, Z GJV, U{0), где Wt =Nt +(;+1fe_1 \ Nj +й_1, b - параметр скрытого канала, bL. Из результатов, полученных в третьем разделе диссертации, следует, что пропускная способность v скрытого канала, построенного таким образом, максимальна при Ъ=1 и определяется следующим выражением: Пусть задано значение допустимой пропускной способности скрытого канала, такое что функционирование скрытых каналов с меньшей пропускной способностью считается неопасным. Пусть сс0 - значение параметра а, при котором выполнено равенство: Отсюда следует, что выполнено равенство: - = -Ыфикс+Ь-1 + а0). (98) После преобразования получаем: v0(a0+l)ln2 VoK27 n2 v Zln2

Таким образом, получена формула для расчета необходимого значения параметра метода противодействия, при котором пропускная способность построенного скрытого канала не превышает заданного значения. Однако при таком способе организации скрытого канала то есть в вероятность верного распознавания переданного символа составляет лишь а + 1 канал вносятся ошибки. Уровень ошибок является важным параметром, так как использование скрытых каналов зачастую приводит к утечке критической информации, такой как криптографические ключи, пароли и так далее. Пусть задано значение рош - допустимого уровня ошибок при передаче данных по скрытому каналу. Тогда из результатов, полученных в третьем разделе диссертации, следует, что значение параметра скрытого канала Ъ следует выбирать равным

В настоящем разделе представлены рекомендации по выбору параметров предложенных методов противодействия утечке информации по скрытым каналам. Ввиду того, что в ряде случаев определять значения параметров разработанных методов противодействия для ограничения пропускной способности скрытого канала необходимо расчетным способом с использованием сложных аналитических зависимостей, реализованы программные средства по расчету необходимых значений параметров предложенных методов противодействия, позволяющих предотвратить утечку информации ограниченного доступа, понизив дополнительную нагрузку на канал связи. Получены два свидетельства о государственной регистрации программ для ЭВМ, автоматизирующих методы противодействия путем случайного увеличения длин пакетов и генерации фиктивного трафика соответственно. Приведены результаты внедрения результатов диссертационной работы.

Скрытые каналы

Одна из проблем, связанных с применением стеганографии, – ширина полосы пропускания. Легко скрыть несколько битов информации; спрятать целое сообщение электронной почты намного труднее. Рассмотрим пример совершенно разумного использования стеганографического канала передачи данных: Алиса и Боб должны обсудить, является ли некое отдельное действие «безопасным» или «угрожающим». Это один бит информации. Они регулярно обмениваются рецептами по электронной почте и договорились, что ключевая фраза «продублируй рецепт» будет индикатором сообщения. Если в послании сказано, что рецепт может быть продублирован, действие безопасно. Если же в нем говорится, что рецепт не может быть продублирован, соответствующее действие опасно. Любой рецепт без ключевой фразы не содержит скрытого сообщения.

Этот вид систем работает, поскольку секретное послание много-много меньше, чем скрывающее его сообщение, и в общем случае называется скрытым каналом (subliminalchannel) (похоже на тайный канал, описанный в главе 8). Скрытые каналы так же стары, как компьютеры, и всегда использовались недобросовестными программистами для «скачивания» информации без согласия пользователей. Представьте, что вы программист и делаете отчет по клиентам банка, и вы хотите запустить свои руки в картотеку индивидуальных номеров (PINs). Вас не уполномочили проверять реальные данные, но доверили вам написать код для получения отчета по базе, содержащей PINs. И вы можете посмотреть отчеты, которые были сделаны раньше. Программа создания отчета добавляет пробелы после данных каждого клиента, от 0 до 9, в соответствии с одной цифрой его PIN. Пусть теперь построитель отчета использует первую цифру в первый день, вторую цифру во второй день, и так далее, пока цикл не будет завершен и мы не возвратимся к первой цифре. Вот именно. Если программист сможет приложить руку к созданию электронного отчета в течение четырех дней, он справится с восстановлением всех индивидуальных номеров. (Действительно, он имеет четыре возможных варианта для каждого номера, в зависимости от того, какая цифра использовалась построителем отчета. Легко понять, что к чему.) Ни один из тех, кто будет смотреть отчеты, не увидит в них ничего злонамеренного, и пока они не проверят код, используемый для создания отчета (а как часто это случается?), никто не узнает, что индивидуальные номера раскрыты.

Есть история о солдате, которому не разрешали говорить, где он служит. У него не было среднего инициала, и он послал серию писем своей подруге, используя в подписи различные средние инициалы; таким образом он дал знать, где находится.

Теперь, когда вы имеете представление об общей идее, вы можете подумать обо всех возможных способах внедрения скрытых каналов в документы: выборе шрифтов и размерах шрифтов, размещении данных и графики на странице, использовании различных синонимов в тексте и т. д. Многие протоколы шифрования позволяют воспользоваться выбором параметров в целях создания скрытого канала: выбором случайных битов для дополнения или неиспользованных битов полей. До тех пор пока вы не слишком жадничаете и согласны черпать информацию чайной ложечкой, несложно организовать скрытый канал в системе.

Вы можете организовать утечку всего что угодно. Индивидуальные номера – хороший пример. Другой пример – ключи шифрования. Создание устройства для шифрования, в котором информация о ключах утекает по скрытому каналу, – замечательный способ атаковать кого-нибудь.

Скрытые каналы, внедренные недобросовестными программистами, обнаруживались во всех видах программного обеспечения спустя какое-то время. Разведывательные организации, подобные NSA, долгое время подозревались во внедрении скрытых каналов, по которым идет утечка информации о ключах криптографического оборудования, проданного иностранным правительствам. Недавний скандал, в котором фигурировала шведская компания Crypto AG, подтверждает это. Побочные каналы, обсуждавшиеся в контексте главы 14, где речь шла об аппаратных средствах сопротивления вторжению, могут рассматриваться как действующие скрытые каналы.

2 Устранение скрытых каналов

3 Скрытие данных в модели OSI

4 Скрытие данных в среде ЛВС

5 Скрытие данных в пакете протоколов TCP/IP

Примечания

Введение

Скрытый канал - это коммуникационный канал, пересылающий информацию методом, который изначально был для этого не предназначен.

Скрытый канал носит своё название в силу того факта, что он спрятан от систем разграничения доступа даже безопасных операционных систем, так как он не использует законные механизмы передачи, такие как чтение и запись, и потому не может быть обнаружен или проконтролирован аппаратными механизмами обеспечения безопасности, которые лежат в основе защищённых операционных систем. В реальных системах скрытый канал практически невозможно установить, и также его часто можно обнаружить с помощью наблюдения за быстродействием системы; кроме того, недостатками скрытых каналов являются низкое отношение сигнал/шум и низкие скорости передачи данных (порядка нескольких бит в секунду). Их также можно удалить с защищённых систем вручную с высокой степенью надёжности, если воспользоваться признанными стратегиями анализа скрытых каналов.

Скрытые каналы часто путают с использованием законных каналов, при котором происходит атака на псевдо-защищённые системы с низкой степенью доверенности, используя такие схемы как стеганография или даже менее сложные схемы, предназначенные для того, чтобы спрятать запрещённые объекты внутри объектов с легальной информацией. Подобные использования законных каналов с применением схем скрытия данных не являются скрытыми каналами и могут быть предотвращены доверенными системами с высокой степенью защищённости.

Скрытые каналы могут проходить сквозь защищённые операционные системы, и необходимы особые меры для их контроля. Единственным проверенным методом контроля скрытых каналов является так называемый анализ скрытых каналов. В то же время, защищённые операционные системы могут с лёгкостью предотвратить неверные (или незаконные) использования легальных каналов. Часто анализ легальных каналов на предмет скрытых объектов неверно представляют как единственную успешную меру против незаконного использования легальных каналов. Поскольку на практике это означает необходимость анализировать большое количество программного обеспечения, ещё в 1972 было показано что подобные меры неэффективны . Не зная этого, многие верят в то, что подобный анализ может помочь справиться с рисками, связанными с легальными каналами.

1.1. Стандарт TCSEC

TCSEC - это набор стандартов, установленных Министерством обороны США.

Лэмпсоновское определение скрытого канала было перефразировано в TCSEC так, чтобы имелись в виду способы передачи информации от более защищённого уровня к менее защищённому. В среде разделённых вычислений сложно полностью отделить один процесс от эффектов, которые другой процесс мог оказать на операционную среду. Скрытый канал создаётся процессом-отправителем, который модулирует некоторое состояние (такое как свободное пространство, доступность некоторого сервиса, времени ожидания запуска и т. д.), которое может быть обнаружено процессом-получателем.

В Критериях определяют два вида скрытых каналов:

Скрытый канал памяти - процессы взаимодействуют благодаря тому, что один может прямо или косвенно записывать информацию в некоторую область памяти, а второй считывать. Обычно имеется в виду, что у процессов с разными уровнями безопасности имеется доступ к некоторому ресурсу (например, некоторые секторы диска).
Скрытый канал времени - один процесс посылает информацию другому, модулируя своё собственное использование системных ресурсов (например, процессорное время) таким образом, что эта операция воздействует на реальное время отклика, наблюдаемое вторым процессом.

Критерии, также известные как Оранжевая книга, требуют, чтобы анализ скрытых каналов памяти был классифицирован как требование для системы класса B2, а анализ скрытых каналов времени как требование для класса B3.

2. Устранение скрытых каналов

Возможность наличия скрытых каналов не может быть устранена полностью, но её можно существенно уменьшить аккуратным проектированием системы и её анализом.

Обнаружение скрытого канала может быть сделано более трудным при использовании характеристик среды передачи для легальных каналов, которые никогда не контролируются и не проверяются пользователями. Например, программа может открывать и закрывать файл особым, синхронизированным, образом, который может быть понят другим процессом как битовая последовательность, формируя таким образом скрытый канал. Так как маловероятно, что легальные пользователи будут пытаться найти схему в открытии и закрытии файлов, подобный тип скрытого канала может оставаться незамеченным в течение длительного времени.

Похожим случаем является технология «port knocking». Обычно при передаче информации распределение запросов во времени не важно, и за ним не наблюдают, но при использовании «port knocking» оно становится существенным.

3. Скрытие данных в модели OSI

Хэнделом и Сэнфордом была предпринята попытка расширить перспективу и сфокусироваться на скрытых каналах в общей модели сетевых протоколов. В качестве основы своих рассуждений они берут сетевую модель OSI и затем характеризуют элементы системы, которые возможно использовать для скрытия данных. У принятого подхода есть преимущества над подходом Хэндела и Сэнфорда, так как в последнем рассматриваются стандарты, противоположные некоторым используемым сетевым средам и архитектурам. Также не разработано надёжной схемы стенографирования.

Тем не менее, установлены общие принципы для скрытия данных на каждом из семи уровней модели OSI. Помимо того, что Хэндел и Сэнфорд предложили использовать зарезервированные поля заголовков протоколов (что легко обнаружимо), они также предположили возможность каналов по времени, касающуюся операции над CSMA/CD на физическом уровне.

Их работа определяет ценность скрытого канала по следующим параметрам:

Обнаружимость: Только у получателя, для которого предназначена передача, должна быть возможность производить измерения скрытого канала.
Неотличимость: Скрытый канал должен быть неидентифицируем.
Полоса пропускания: Количество битов скрытых данных за каждое использование канала.

Также был представлен анализ скрытых каналов, но он не рассматривает такие проблемы, как-то: взаимодействие с помощью упомянутых методов между сетевыми узлами, оценка ёмкости канала, эффект, который скрытие данных оказывает на сеть. Кроме того, применимость методов не может быть полностью оправдана на практике, так как модель OSI не существует как таковая в действующих системах.

4. Скрытие данных в среде ЛВС

Первым, кто проанализировал скрытые каналы в среде локальных сетей, был Гирлинг. Его работа фокусируется на локальных вычислительных сетях (ЛВС), в которых определяются три очевидных скрытых канала - два по памяти и один по времени. Это показывает реальные примеры возможных полос пропускания для простых скрытых каналов в ЛАС. Для особой среды ЛАС, автор ввёл понятие перехватчика, который наблюдает за действиями определённого передатчика в ЛВС. Стороны, осуществляющие скрытую передачу, - это передатчик и перехватчик. Скрытая информация, согласно Гирлингу, может быть передана любым из следующих способов:

Наблюдение за адресами, к которым обращается передатчик. Если количество адресов, к которым он может обращаться, равно 16, то существует возможность секретной передачи с размером секретного сообщения 4 бита. Автор отнёс эту возможность к скрытым каналам памяти, так как она зависит от посылаемого содержимого.
Другой очевидный скрытый канал полагается на размер кадра, посланного передатчиком. Если существует 256 различных размеров кадра, то количество секретной информации, полученной при расшифровке одного размера кадра, будет 8 бит. Этот канал также был отнесён автором к скрытым каналам памяти.
Третий, временной, способ полагается на разность между временами передачи. К примеру, нечётная разность будет означать «0», а чётная - «1». Время, необходимое для передачи блок данных, рассчитывается как функция от программной вычислительной скорости, скорости сети, размеров сетевого блока и затрат времени протокола. В предположении, что в ЛВС передаются блоки различных размеров, вычисляются средние программные затраты времени и также оценивается полоса пропускания скрытых каналов.

5. Скрытие данных в пакете протоколов TCP/IP

Более конкретный подход был предпринят Роулэндом. Сосредотачиваясь на IP и TCP заголовках пакета протоколов TCP/IP, Роулэнд выводит правильные методы кодирования и декодирования с использованием поля идентификации IP и TCP-поля начального номера последовательности и номера последовательности подтверждения. Эти методы реализованы в простом приложении, написанном для Linux-систем, работающих на ядре версии 2.0. Роулэнд просто доказывает саму идею существования скрытых каналов в TCP/IP, а также их использования. Соотственно, его работу можно оценивать как практический прорыв в этой сфере. Принятые им методы кодирования и декодирования более прагматичны по сравнению с ранее предложенными работами. Эти методы проанализированы с учётом механизмов безопасности, таких как преобразование сетевых адресов брандмауэром.

Тем не менее, необнаружимость этих методов скрытой передачи стоит под вопросом. Например, в случае когда производятся операции над полем номера последовательности TCP-заголовка, принята схема, в которой алфавит каждый раз скрытно передаётся, но тем не менее кодируется одним и тем же номером последовательности. Более того, использование поля номера последовательности, так же, как и поля подтверждения, нельзя осуществлять с привязкой к ASCII-кодировке английского алфавита, как это предложено, так как оба поля учитывают получение байтов данных, относящихся с определённым сетевым пакетам.