образовательное учреждение высшего профессионального образования ">

480 руб. | 150 грн. | 7,5 долл. ", MOUSEOFF, FGCOLOR, "#FFFFCC",BGCOLOR, "#393939");" onMouseOut="return nd();"> Диссертация - 480 руб., доставка 10 минут , круглосуточно, без выходных и праздников

Когос Константин Григорьевич. Метод противодействия утечке информации по скрытым каналам, основанным на изменении длин передаваемых пакетов: диссертация... кандидата технических наук: 05.13.19 / Когос Константин Григорьевич;[Место защиты: Федеральное государственное автономное образовательное учреждение высшего профессионального образования "Национальный исследовательский ядерный университет "МИФИ"].- Москва, 2015.- 116 с.

Введение

1 Исследование способов построения и противодействия утечке информации по скрытым каналам в сетях пакетной передачи данных 11

1.1 Подходы к определению скрытых каналов 11

1.2 Скрытые каналы в сетях пакетной передачи данных 19

1.3 Противодействие утечке информации по скрытым каналам

1.3.1 Идентификация скрытых каналов 24

1.3.2 Анализ скрытых каналов 30

1.3.3 Ограничение пропускной способности и подавление скрытых каналов 33

1.3.4 Обнаружение скрытых каналов 37

1.3.5 Противодействие утечке информации по сетевым скрытым каналам 39

1.4 Выводы 41

2 Методика анализа и оценки пропускной способности скрытых каналов при введении методов ограничения пропускной способности 43

2.1 Оценка максимальной пропускной способности скрытого канала при поточном шифровании трафика 43

2.2 Оценка максимальной пропускной способности скрытого канала при блочном шифровании трафика 47

2.3 Методика анализа и оценки пропускной способности скрытых каналов в условиях противодействия 51

2.4 Выводы 57

3 Метод ограничения пропускной способности скрытых каналов путем увеличения длин передаваемых пакетов 58

3.1 Способ противодействия утечке информации путем случайного увеличения длин передаваемых пакетов 58

3.2 Оценка пропускной способности скрытого канала в условиях противодействия 59

3.3 Построение скрытого канала, при котором длины передаваемых пакетов принимают равномерно распределенные значения 62

3.4 Оценка пропускной способности скрытого канала, при котором длины передаваемых пакетов принимают равномерно распределенные значения 67

3.5 Оценка пропускной способности скрытого канала с заданным уровнем ошибок, при котором длины передаваемых пакетов принимают равномерно распределенные значения 68

3.6 Выводы 70

4 Метод ограничения пропускной способности скрытых каналов путем генерации фиктивного трафика 71

4.1 Способ противодействия утечке информации путем генерации фиктивного трафика 71

4.2 Оценка пропускной способности скрытого канала при детерминированной генерации фиктивного трафика 73

4.3 Оценка пропускной способности скрытого канала при случайной генерации фиктивного трафика 79

4.4 Выводы 86

5 Применение разработанных методов ограничения пропускной способности скрытых каналов 87

5.3 Внедрение результатов диссертационной работы 95

5.4 Выводы 97

Заключение 98

Список сокращений и условных обозначений 100

Список литературы 101

Введение к работе

Актуальность работы. На современном этапе развития информационных технологий и массового внедрения средств вычислительной техники в различные области и сферы деятельности человека постоянно возрастает актуальность проблем информационной безопасности, от качества решения которых во многом зависит успешное функционирование государственных и коммерческих организаций.

В настоящее время и на прогнозируемую перспективу сохранится тенденция широкого использования сетей пакетной передачи данных, что, в свою очередь, делает весьма значимой угрозу негласного использования нарушителем особенностей протокола IP для скрытой передачи информации ограниченного доступа по каналам связи, выходящим за пределы объектов информатизации, на которых она обрабатывается.

Необходимость создания и постоянного совершенствования способов противодействия утечке информации по так называемым скрытым каналам обусловлена и тем, что такие каналы могут быть построены в условиях применения традиционных способов сетевой защиты, заключающихся в межсетевом экранировании, туннелировании трафика и др. Исследования показывают, что данная угроза сохраняется даже при передаче информации в зашифрованном виде. Согласно отечественному стандарту ГОСТ Р 53113.2-2009, информация, связанная с размерами пакетов и временными интервалами между их появлением, может быть использована для организации скрытого канала в условиях туннелирования и шифрования трафика. Вопросами анализа скрытых каналов занимаются такие отечественные и зарубежные ученые, как Аникеев М.В., Грушо А.А., Матвеев С.В., Тимонина Е.Е., Зандер С., Кабук С., Кеммерер Р.А., Лэмпсон Б.В., Миллен Ж.К. и другие.

Значимость диссертационной работы подтверждена Перечнем приоритетных проблем научных исследований в области обеспечения информационной безопасности Российской Федерации (пункты 45, 48, 74), наличием в стандарте ГОСТ Р ИСО/МЭК 15408-2-2013 класса функциональных требований, касающихся ограничения и подавления скрытых каналов, а также регламентируемым ГОСТ Р 53113 подходом к противодействию утечке информации по скрытым каналам.

Особую актуальность рассматриваемой угрозе, связанной с утечкой информации по скрытым каналам, придают известные результаты исследований, согласно которым противник, который знает схему контроля в системе защиты, может создать невидимый для контролирующего субъекта скрытый канал как для управления программно-аппаратным агентом в компьютерной системе, так и для общения программно-аппаратных агентов в открытой среде между собой.

Метод, позволяющий гарантировать отсутствие в системе сетевых скрытых каналов,
заключается в построении и поддержании замкнутых доверенных программно-аппаратных
сред. Внедрение агента нарушителя в такие системы должно быть невозможно на любой стадии
их жизненного цикла. При этом, ввиду повсеместного использования импортного оборудования
и программного обеспечения, такой метод зачастую практически не реализуем, так как агент
нарушителя может быть внедрен как на оконечных, так и на промежуточных узлах на пути
следования трафика. Передача данных по каналам связи в зашифрованном виде не решает
проблему утечки информации по некоторым классам сетевых скрытых каналов. Вместе с тем,
исследование даже известного кода на предмет обнаружения программных закладок
представляет собой трудоемкую научно-техническую задачу и становится практически
невозможным при частом внесении изменений в программное обеспечение. Таким образом,
реализация рассмотренного подхода, позволяющего предотвратить утечку информации по
сетевым скрытым каналам, является нетривиальной задачей и не в любой системе может быть
доведена до практического исполнения. Другой способ исключения условий

функционирования сетевых скрытых каналов заключается в нормализации параметров пакетной передачи данных, то есть, в отправке пакетов фиксированной длины с фиксированными заголовками через равные промежутки времени, что приводит к существенному снижению эффективности использования пропускной способности каналов связи, увеличению стоимости их применения.

В силу отмеченных причин, в соответствии с ГОСТ Р 53113.1-2008, в случаях, когда регулирующие органы или собственник информации допускают возможность утечки некоторых объемов данных, рекомендуется использовать методы ограничения пропускной способности скрытых каналов. Такие методы применимы, если пропускная способность скрытого канала может быть ограничена до величины, меньшей установленного допустимого значения. Целесообразность использования указанных методов подтверждена данными компании IBM, согласно которым допустимо функционирование скрытых каналов с пропускной способностью до 0,1 бит/с, но в некоторых случаях возможно наличие потенциальных скрытых каналов с пропускной способностью до 100 бит/с. Применение рассмотренных методов на практике, в отличие от методов подавления скрытых каналов, позволяет обеспечивать высокую эффективную пропускную способность канала связи, гибко управлять эксплуатационными и стоимостными характеристиками телекоммуникационных систем. Данный подход позволяет гарантированно ограничить пропускную способность широкого класса скрытых каналов, независимо от способа их организации. Для построения таких методов необходимо получить и исследовать оценки пропускной способности скрытых каналов, функционирующих в условиях отсутствия и применения средств противодействия.

Кроме того, оценка пропускной способности скрытых каналов и оценка опасности, которую несет их скрытое функционирование, является одним из этапов по определению степени опасности скрытого канала в соответствии с ГОСТ Р 53113.1-2008.

В настоящей работе исследованы скрытые каналы, основанные на изменении длин передаваемых пакетов, так как, с одной стороны, такие каналы могут быть построены в условиях шифрования трафика, с другой стороны, их пропускная способность может быть значительно выше, чем пропускная способность каналов по времени. Несмотря на то, что известны способы реализации анализируемых методов противодействия утечке информации по скрытым каналам путем увеличения длин пакетов и генерации фиктивного трафика, отсутствуют рекомендации по выбору значений параметров данных методов, а также неизвестны оценки остаточной пропускной способности скрытых каналов в условиях противодействия. Поэтому настоящая работа, посвященная разработке и исследованию методов противодействия утечки информации по скрытым каналам, основанным на изменении длин передаваемых пакетов, является актуальной и представляет как научный, так и практический интерес.

Целью диссертационной работы является повышение защищенности информационных систем путем разработки метода ограничения пропускной способности скрытых каналов, основанных на изменении длин пакетов.

В соответствии с поставленной целью в диссертационной работе решаются следующие задачи:

анализ существующих способов построения скрытых каналов в сетях пакетной передачи данных и способов противодействия им;

разработка методики анализа и оценки пропускной способности скрытых каналов при применении методов противодействия;

разработка и оценка количественных характеристик методов противодействия утечке информации по скрытым каналам, основанным на изменении длин пакетов, путем случайного увеличения длин пакетов, детерминированной и случайной генерации фиктивного трафика.

Основными методами исследования , используемыми в работе, являются методы теории информации, теории вероятности, дифференциального и интегрального исчисления.

Научная новизна диссертационной работы заключается в следующем.

1. Предложена методика анализа и оценки пропускной способности скрытых каналов с использованием методов теории информации в условиях их ограничения, позволяющая, в

отличие от существующих подходов, исследовать зависимость характеристик скрытых каналов от параметров способа противодействия.

Разработаны методы противодействия утечке информации по скрытым каналам, основанным на изменении длин передаваемых пакетов, путем их случайного увеличения, детерминированной и случайной генерации фиктивного трафика, отличающиеся от известных тем, что они применимы в случае, когда допускается наличие в информационной системе скрытого канала с приемлемым значением пропускной способности.

Впервые получены оценки пропускной способности скрытых каналов, основанных на изменении длин передаваемых пакетов, в отсутствие противодействия и в условиях предотвращения утечки информации.

Теоретическую значимость представляют:

методы противодействия утечке информации по скрытым каналам, основанным на изменении длин пакетов, путем случайного увеличения длин пакетов, подлежащих отправке, детерминированной и случайной генерации фиктивного трафика;

методика анализа и оценки пропускной способности скрытых каналов при применении методов ограничения пропускной способности;

формулы для расчета значений параметров предложенных методов противодействия, при которых пропускная способность скрытого канала не превышает заданного значения.

Практическую значимость представляют:

методы ограничения пропускной способности скрытых каналов, основанных на изменении длин пакетов, путем случайного увеличения длин пакетов, подлежащих отправке, детерминированной и случайной генерации фиктивного трафика;

оценка максимальной пропускной способности скрытого канала, основанного на изменении длин передаваемых пакетов, при отсутствии противодействия в условиях поточного и блочного шифрования трафика;

методика анализа и оценки пропускной способности скрытого канала в условиях введения методов противодействия;

программные средства для расчета значений параметров предложенных методов противодействия, позволяющих понизить остаточную пропускную способность скрытого канала до заданного значения.

Внедрение результатов исследований. Практическая значимость результатов

диссертации подтверждена тремя актами о внедрении. Разработанные автором методы противодействия утечке информации по скрытым каналам внедрены в деятельность ЗАО «Голлард» по модернизации программного комплекса «Сито», предназначенного для

подавления функционирования скрытых логических каналов. Результаты диссертационной работы внедрены также в научно-исследовательские и опытно-конструкторские работы, выполняемые ООО «Защита информации». Теоретические результаты диссертации внедрены в образовательный процесс кафедры «Криптология и дискретная математика» НИЯУ МИФИ в рамках учебного курса «Криптографические протоколы и стандарты».

Публикации и апробация работы. Результаты диссертационной работы изложены в 15 опубликованных и приравненных к ним работах, в том числе в пяти научных статьях в изданиях, включенных в Перечень ведущих рецензируемых научных журналов, четырех научных статьях в журналах, индексируемых международной системой научного цитирования Scopus, из них одна в журнале, индексируемом международной системой научного цитирования Web of Science, также имеются два свидетельства о государственной регистрации программ для ЭВМ. Результаты работы докладывались на конференциях и семинарах различного уровня, в том числе на:

23-й и 24-й научно-технических конференциях «Методы и технические средства обеспечения безопасности информации» (Санкт-Петербург, 2014, 2015 гг.);

ХХII Всероссийской научно-практической конференции «Проблемы информационной безопасности в системе высшей школы» (Москва, 2015 г.);

научно-практическом семинаре в Центре специальных разработок Министерства обороны Российской Федерации (Москва, 2015 г.);

14-й Всероссийской конференции «Сибирская научная школа-семинар с международным участием «Компьютерная безопасность и криптография» SIBECRYPT’15 (Новосибирск, 2015 г.);

The International Conference on Open and Big Data OBD 2015 (Рим, Италия, 2015 г.);

The 5 th International Conference on IT Convergence and Security ICITCS 2015 (Куала Лумпур, Малайзия, 2015 г.);

The 2 nd Workshop on Emerging Aspects in Information Security EAIS’15 (Лодзь, Польша, 2015 г.);

The 8 th International Conference on Security of Information and Networks SIN 2015 (Сочи, 2015 г.).

Основные положения, выносимые на защиту:

оценка максимальной пропускной способности скрытых каналов, основанных на изменении длин пакетов, при поточном и блочном шифровании трафика;

методика анализа и оценки пропускной способности скрытых каналов при введении методов ограничения пропускной способности;

методы противодействия утечке информации по скрытым каналам, основанным на изменении длин пакетов, путем случайного увеличения длин передаваемых пакетов, детерминированной и случайной генерации фиктивного трафика;

выражения для расчета значений параметров предложенных методов противодействия утечке информации по скрытым каналам и рекомендации по их выбору.

Структура и объем работы. Диссертация состоит из введения, пяти разделов, заключения, списка литературы, включающего 148 наименований, и двух приложений. Диссертация изложена на 114 страницах с 27 рисунками и 12 таблицами, не включая приложения.

Противодействие утечке информации по скрытым каналам

Схема непрямого скрытого канала по памяти Данные могут также быть скрыты в заполнении кадра или пакета незначащей информацией, если длина кадра или пакета должна быть не меньше определенного значения. Например, такая скрытая передача данных возможна в случае использования протокола Ethernet, в котором кадры должны быть заполнены до минимальной длины 60 байт. Если условия использования протокола не предусматривают конкретные значения для байтов заполнения, то могут быть использованы любые данные . Аналогичным образом, скрытая передача информации может быть организована для протоколов IPv4, IPv6 и TCP .

Изменение адресов получателей в последовательно передаваемых пакетах для построения скрытого канала предложено авторами . Сумму всех битов передаваемого пакета предложено использовать для скрытой передачи информации автором . Информация может быть передана путем изменения порядка передачи N пакетов через X потоков протокола TCP . Если представить, что пакеты - это шары, а потоки - урны, то представленный скрытый канал напрямую связан с задачей размещения N шаров по X урнам. Преднамеренное удаление отправителем некоторых пакетов, подлежащих отправке, применено для построения скрытого канала с низкой пропускной способностью в .

Скрытые статистические каналы детально проанализированы авторами . Примером скрытого статистического канала может являться передача некоторого маловероятного пакета в заранее заданный злоумышленником интервал времени.

Скрытая информация может быть передана путем изменения скорости передачи пакетов . Пропускная способность такого скрытого канала равна log2r бит в течение одного

временного интервала, где г - количество различных скоростей передачи пакетов. Бинарный скрытый канал по скорости передачи пакетов исследован авторами .

Впервые использовать длины межпакетных интервалов для организации скрытых каналов было предложено в . Авторами предложена технология JitterBug для построения бинарных скрытых каналов, основанных на изменении длин межпакетных интервалов. Другая схема скрытой передачи информации с использованием длин межпакетных интервалов исследована в . Авторами даны рекомендации по выбору значений параметров кодирования, при которых пропускная способность скрытого канала принимает наибольшее значение. В предложен скрытый канал, основанный на изменении длин межпакетных интервалов, вероятность обнаружения которого приблизительно равна 9%, вероятность ошибки второго рода не превышает 0,5%.

Авторами предложено переупорядочивание последовательности пакетов, подлежащих отправке, на стороне отправителя для построения скрытого канала. Так как существует п! способов переупорядочить п пакетов, то пропускная способность такого канала равна (log2 п!) / п бит на пакет.

В скрытом канале, описанном автором , отправитель посылает большое количество запросов на сервер, чтобы передать «1», либо бездействует, чтобы передать «0». Получатель по истечении каждого временного интервала посылает запросы на сервер и измеряет время ответного сигнала для восстановления переданной информации.

Авторами разработан скрытый канал, основанный на том, что температура процессора прямо пропорциональна количеству обработанных пакетов за единицу времени, а отклонения системных часов зависят от температуры процессора. В течение каждого временного интервала скрытый отправитель либо отправляет пакеты на промежуточный узел, либо бездействует. Скрытый получатель оценивает отклонение системных часов промежуточного узла, анализируя значения меток времени в полученных от него пакетах, например, используя поля «Метка времени» заголовков полученных пакетов протокола TCP. В ряде работ предложены схемы встраивания в длины межпакетных интервалов отличительной информации для отслеживания трафика, проходящего через прокси-серверы, анонимные сети.

Впервые изменять длину кадров канального уровня для скрытой передачи информации предложено авторами : отправителю и получателю известно правило, согласно которому каждому байту скрытого сообщения соответствует определенная длина кадра. Таким образом, требуется 256 различных длин кадров для описания всевозможных значений байтов передаваемого сообщения. Таким скрытые каналы требуют особого внимания, так как далее показано, что их пропускная способность может превышать 1% и 0,1% пропускной способности канала связи при использовании протокола сетевого уровня IPv4 и IPv6 соответственно.

Авторами предложен скрытый канал, в котором отправитель и получатель разделяют периодически обновляемую матрицу, элементы которой - уникальные неупорядоченные длины пакетов. Отправитель по битам скрытно передаваемого сообщения определяет строку матрицы и случайным образом выбирает длину пакета из данной строки, получатель - находит длину принятого пакета в матрице и по номеру строки восстанавливает биты переданного сообщения.

Предложенная в схема усовершенствована авторами : перед началом скрытой передачи информации отправитель и получатель формируют динамически обновляемый справочник длин пакетов, фиксируя длины пакетов трафика, характерного для отсутствия скрытого канала. Для скрытой передачи сообщения отправитель посылает пакет, длина которого выбрана из справочника по алгоритму, известному отправителю и получателю. Длина следующего пакета равна сумме длины предыдущего пакета и числа, соответствующего битам скрытно передаваемого сообщения. В данная схема улучшена путем существенного понижения емкостной и временной сложности декодирования, так как получатель не хранит весь справочник целиком. Авторами предложено совместное использование длин и информационного наполнения пакетов для построения скрытого канала с высокой пропускной способностью.

Представленные схемы скрытой передачи информации, использующие изменение длин пакетов, являются, с одной стороны, сложно обнаруживаемыми, с другой стороны, могут иметь достаточно высокую пропускную способность в сравнении со скрытыми каналами по времени. Это обусловлено тем, что скрытые каналы по времени являются каналами с шумом, поскольку время следования пакета - случайная величина, а также из-за того, что вероятность потери пакетов отлична от нуля.

Оценка максимальной пропускной способности скрытого канала при блочном шифровании трафика

Шифрование трафика - традиционный способ защиты передаваемой по сети информации ограниченного доступа, однако скрытые каналы, основанные на изменении длин пакетов, исследуемые в настоящей работе, могут быть построены в условиях шифрования трафика . Как правило, ввиду высокого объема шифрованных данных, а также необходимости поддержки высокой скорости зашифрования и расшифрования, для обеспечения конфиденциальности передаваемых данных применяют симметричные алгоритмы шифрования. По принципу обработки информации различают поточные и блочные симметричные алгоритмы шифрования . Данный подраздел посвящен оценке максимальной пропускной способности скрытых каналов, основанных на изменении длин передаваемых пакетов, при поточном шифровании трафика. Вопросы применения методов поточного шифрования для защиты трафика исследовали, например, авторы .

При использовании поточных алгоритмов шифрования длина сообщения не изменяется, поэтому для исследования выбран скрытый канал, построенный следующим образом. Пусть длины пакетов принимают значения на множестве Nt +L \Nj ч, фикс, LGN. Тогда наибольшую пропускную способность имеет скрытый канал, в котором для передачи символа «/ » отправитель посылает пакет длины 1фикс+К г є „-і U{0}, neN - параметр скрытого канала, Nx - множество натуральных чисел от 1 до х. Для оценки пропускной способности скрытого канала v здесь и далее выбран метод, основанный на оценке взаимной информации случайных величин X, 7, описывающих входные и выходные характеристики скрытого канала соответственно: H(Y\X) = - Y, P«U) E A««(/Wlo82A«(/ b) условная энтропия случайной величины 7 относительно случайной величины X, pex(i) - вероятность отправки символа «/ », Реьа(і) - вероятность распознавания получателем символа «/ », рвЬа(і\І) - условная вероятность распознавания получателем символа «/ » при отправке символа «/ ».

При равновероятном выборе передаваемых по скрытому каналу символов энтропия случайной величины 7 определяется значением параметра скрытого канала п и равна

Очевидно, при увеличении значения п увеличивается как средняя длина передаваемых пакетов, так и количество битов, которое несет передача одного пакета по скрытому каналу. Среднее время т передачи пакета определяется выражением: что достигается при средней длине передаваемых пакетов, равной. Таким образом, пропускная способность v скрытого канала определяется следующим

Для нахождения значения параметра скрытого канала п как функции от параметра метода противодействия а, при котором выражение принимает наибольшее значение, предлагается перейти от дискретной переменной п к непрерывной переменной n, определенной на полуинтервале ll,+oo). Функция от переменной n определена и непрерывна на данном множестве, что позволяет найти экстремум путем дифференцирования данной функции. Производная от функции v ; по переменной n определяется следующим

Заметим, что параметр скрытого канала n принимает целочисленные значения, поэтому фактическое значение параметра скрытого канала n0 необходимо выбирать следующим образом:

Как правило, lфикс определяет сумму длин заголовков сетевого и канального уровней модели взаимодействия открытых систем. Так, например, при использовании IPv4 в качестве протокола сетевого уровня сумма длин заголовков сетевого и канального уровней принимает значение не менее 34 байт, если технология канального уровня - Ethernet. Аналогичная величина при использовании протокола IPv6 равна 54 байтам. Тогда, как видно из таблицы 8, при поточном шифровании трафика при использовании протокола IPv4 пропускная способность скрытого канала максимальна при и=138 и достигает примерно 0,021/?, при использовании протокола IPv6 пропускная способность скрытого канала максимальна при п=201 и достигает примерно 0,014/?, где /? - пропускная способность канала связи. Таблица 8 - Пропускная способность скрытых каналов при поточном шифровании трафика

Данные результаты подтверждают актуальность исследования методов противодействия утечке информации по скрытым каналам, так как показывают, что при пропускной способности канала связи 1 Гбит/с может быть построен скрытый канал с пропускной способностью более 10 Мбит/с.

При блочном шифровании данных открытый текст разбивается на блоки одинакового размера, определяемого алгоритмом шифрования, которые зашифровываются независимо с помощью подстановки шифра. Расшифрование происходит аналогично. Таким образом, если 1Ш - длина блока, то открытый текст перед началом зашифрования должен иметь длину, кратную 1Ш. Способы дополнения открытого текста до необходимой длины описаны, например, в . Поскольку новый отечественный стандарт на алгоритм шифрования является симметричным блочным шифром с размерами блоков 64 и 128 бит, то полученные далее результаты применимы и в случае шифрования канала связи с использованием указанного алгоритма. Если открытый текст имеет длину /0, то после зашифрования длина шифрованного

Так как при таком способе построения скрытого канала увеличение длин пакетов до значений, кратных 1Ш, не приводит к ошибкам, то H(Y\X) = 0. Очевидно, при росте значения п увеличивается как средняя длина передаваемых пакетов, так и количество битов, которое несет передача одного пакета по скрытому каналу. Тогда среднее время т передачи пакета определяется выражением:

Построение скрытого канала, при котором длины передаваемых пакетов принимают равномерно распределенные значения

По рассуждениям, приведенным выше, выражение / (&) принимает наибольшее значение при выборе параметра Ь, равным единице. При таком выборе значения параметра скрытого канала Ъ скрытый канал построен следующим образом: для передачи символа «/ » отправитель посылает пакет длины 1фиКс+К /є-Л U{0}, п - параметр скрытого канала. В

данном случае введение противодействия приводит к возникновению ошибок, причем вероятность верного распознавания получателем переданного символа равна. а + \ При таком выборе значения параметра скрытого канала Ъ условные вероятности распознавания получателем переданного символа принимают следующие значения:

Параметр скрытого канала n принимает целочисленные значения, поэтому фактическое значение параметра скрытого канала n0 необходимо выбирать следующим образом:

Таким образом, в данном подразделе оценена остаточная пропускная способность скрытого канала, основанного на изменении длин пакетов, при случайном увеличении длин пакетов, подлежащих отправке. Необходимое условие построения исследованного скрытого канала - равномерное распределение на множестве длин передаваемых пакетов. Выбрана наилучшая, с точки зрения значения остаточной пропускной способности, схема построения скрытого канала. Однако уровень ошибок при передаче данных по построенному скрытому каналу равен

При наличии допустимого уровня ошибок параметры скрытого канала необходимо выбирать иным образом, что приведет к понижению его пропускной способности. В следующем подразделе исследована остаточная пропускная способность скрытого канала при наличии допустимого уровня ошибок при передаче данных по скрытому каналу и равномерном распределении на множестве длин передаваемых пакетов.

Оценка пропускной способности скрытого канала с заданным уровнем ошибок, при котором длины передаваемых пакетов принимают равномерно распределенные значения

В предыдущем подразделе дана оценка максимальной пропускной способности скрытого канала, при котором длины передаваемых пакетов равномерно распределены на некотором множестве, которая достигается при значении параметра скрытого канала Ь, равного единице. Однако при таком способе построения скрытого канала вероятность верного распознавания переданного символа составляет лишь. Уровень ошибок может быть важным параметром, так как использование скрытых каналов зачастую приводит к утечке критической информации, такой как криптографические ключи, пароли и так далее. Пусть задано значение р - допустимого уровня ошибок при передаче данных по скрытому каналу. Тогда значение параметра скрытого канала Ъ следует выбирать равным

Таким образом, в настоящем подразделе исследован скрытый канал, при построении которого длины передаваемых пакетов принимают равномерно распределенные значения, а уровень ошибок не превышает заданной величины. Выбрана наилучшая, с точки зрения значения остаточной пропускной способности скрытого канала, схема кодирования с учетом предъявляемых требований. Оценена остаточная пропускная способность скрытого канала в условиях противодействия.

В данном разделе разработан метод противодействия утечке информации по скрытым каналам в сетях пакетной передачи данных путем увеличения длины каждого пакета случайным образом. При известной схеме реализации данного метода противодействия нерешенной задачей оставалась оценка остаточной пропускной способности скрытого канала при введении противодействия. Увеличение длин пакетов не приводит к рассинхронизации отправителя и получателя, однако скрытые каналы, устойчивые к данному методу противодействия, должны быть построены специальным образом, предложенным в работе.

Дана оценка максимальной пропускной способности скрытого канала, основанного на изменении длин пакетов, при случайном увеличении длин пакетов, подлежащих отправке. Особое внимание уделено пропускной способности скрытых каналов, при которых длины передаваемых пакетов принимают равномерно распределенные значения, уровню ошибок при передаче данных. Полученные результаты позволяют применять предложенный метод противодействия путем случайного увеличения длин пакетов, подлежащих отправке, при наличии допустимой пропускной способности скрытого канала, минимизировав дополнительную нагрузку на канал связи. 4 Метод ограничения пропускной способности скрытых каналов путем генерации фиктивного трафика

Данный раздел посвящен разработке и исследованию метода противодействия утечке информации по скрытым каналам путем генерации фиктивного трафика. Предложено два способа генерации фиктивного трафика: детерминированным и случайным образом. Для обоих случаев получены выражения для оценки остаточной пропускной способности бинарного скрытого канали при синхронизации путем отправки пакетов специального вида.

При детерминированной генерации фиктивного трафика после передачи k пакетов с информационным наполнением отправляется фиктивный пакет случайной длины, k - параметр метода противодействия, отвечающий за частоту отправки фиктивных пакетов. Эффективная пропускная способность канала связи при введении данного метода противодействия равна

Оценка пропускной способности скрытого канала при случайной генерации фиктивного трафика

Ввиду сложности аналитических зависимостей, связывающих значения параметров скрытого канала и метода противодействия, лишь в некоторых случаях возможно получение формул для оценки значения параметра метода противодействия, в иных случаях необходимо воспользоваться расчетными данными, методами визуализации либо иными подходами, в зависимости от исследуемого метода противодействия и типа скрытых каналов.

В настоящем разделе даны рекомендации по выбору значений параметров разработанных методов утечке информации ограниченного доступа по скрытым каналам, основанным на изменении длин передаваемых пакетов. Ввиду того, что в ряде случаев определять значения параметров разработанных методов противодействия для ограничения пропускной способности скрытого канала необходимо расчетным способом с использованием сложных аналитических зависимостей, реализованы программные средства по расчету необходимых значений параметров предложенных методов противодействия, позволяющих предотвратить утечку информации ограниченного доступа, понизив дополнительную нагрузку на канал связи. Получены два свидетельства о государственной регистрации программ для ЭВМ , представленные в Приложениях 1, 2, которые позволяют автоматизировать выбор значений параметров методов противодействия путем случайного увеличения длин пакетов и генерации фиктивного трафика соответственно.

Рассмотрим метод противодействия утечке информации по скрытым каналам, основанным на изменении длин передаваемых пакетов, путем их увеличения случайным образом, предложенный в третьем разделе диссертации. Обобщая полученные зависимости, получаем три случая, для которых определена пропускная способность скрытых каналов в условиях противодействия: - для канала, имеющего наибольшую пропускную способность при введении противодействия (K1): - для канала, имеющего наибольшую пропускную способность при введении противодействия и условии, что длины передаваемых пакетов принимают равномерно распределенные значения (K2): (2L+a-l - для канала, имеющего наибольшую пропускную способность при введении противодействии, и условиях, что длины передаваемых пакетов принимают равномерно распределенные значения и уровень ошибок не превышает заданного значения (K3): +

Значения параметров метода противодействия путем случайного увеличения длин передаваемых пакетов для ограничения пропускной способности данных скрытых каналов предлагается определять расчетным способом. В таблице 12 представлена зависимость между значениями параметров скрытого канала, пропускной способности скрытого канала и параметра метода противодействия.

В некоторых приложениях представляет интерес случай, когда длины передаваемых пакетов принимают значения на заданном множестве. Пусть при построении скрытого канала длины передаваемых пакетов равномерно распределены на множестве N,_, \N, _,. В 1фшс+- 1 условиях противодействия скрытый канал следует организовать следующим образом: для передачи символа «/ » отправитель посылает пакет длины /єЖ, Z GJV, U{0), где Wt =Nt +(;+1fe_1 \ Nj +й_1, b - параметр скрытого канала, bL. Из результатов, полученных в третьем разделе диссертации, следует, что пропускная способность v скрытого канала, построенного таким образом, максимальна при Ъ=1 и определяется следующим выражением: Пусть задано значение допустимой пропускной способности скрытого канала, такое что функционирование скрытых каналов с меньшей пропускной способностью считается неопасным. Пусть сс0 - значение параметра а, при котором выполнено равенство: Отсюда следует, что выполнено равенство: - = -Ыфикс+Ь-1 + а0). (98) После преобразования получаем: v0(a0+l)ln2 VoK27 n2 v Zln2

Таким образом, получена формула для расчета необходимого значения параметра метода противодействия, при котором пропускная способность построенного скрытого канала не превышает заданного значения. Однако при таком способе организации скрытого канала то есть в вероятность верного распознавания переданного символа составляет лишь а + 1 канал вносятся ошибки. Уровень ошибок является важным параметром, так как использование скрытых каналов зачастую приводит к утечке критической информации, такой как криптографические ключи, пароли и так далее. Пусть задано значение рош - допустимого уровня ошибок при передаче данных по скрытому каналу. Тогда из результатов, полученных в третьем разделе диссертации, следует, что значение параметра скрытого канала Ъ следует выбирать равным

В настоящем разделе представлены рекомендации по выбору параметров предложенных методов противодействия утечке информации по скрытым каналам. Ввиду того, что в ряде случаев определять значения параметров разработанных методов противодействия для ограничения пропускной способности скрытого канала необходимо расчетным способом с использованием сложных аналитических зависимостей, реализованы программные средства по расчету необходимых значений параметров предложенных методов противодействия, позволяющих предотвратить утечку информации ограниченного доступа, понизив дополнительную нагрузку на канал связи. Получены два свидетельства о государственной регистрации программ для ЭВМ, автоматизирующих методы противодействия путем случайного увеличения длин пакетов и генерации фиктивного трафика соответственно. Приведены результаты внедрения результатов диссертационной работы.

Попытки скрыть сам факт передачи информации имеют длинную историю. Способы сокрытия самого факта передачи информации получили название стеганография. Исторически для стеганографии применялись «невидимые» чернила, точечные фотовставки и т.д. Данное направление получило вторую жизнь в наше время в связи с широким использованием сетей передачи данных .

Появился термин «скрытый канал» (covert channel). Впервые понятие скрытого канала было введено в работе Лэмпсона в 1973 году. Канал называется скрытым, если он не проектировался, не предполагался для передачи информации в электронной системе обработки данных. Таким образом, термин скрытые каналы больше относится к внутрикомпьютерным телекоммуникациям.

В настоящее время существует множество утилит и средств для реализации стеганографического сокрытия информации. В связи с этим остро возникает проблема обнаружения передачи скрытой информации в каналах связи и, в частности, обнаружение утечек конфиденциальных данных.

В любом наборе информации, будь то исполняемая программа, графическое изображение или сетевой протокол есть пути переноса дополнительных «скрытых» данных. Такая возможность есть и практически на всех уровнях модели OSI. Широко известны инструменты туннелирования, использующие служебные заголовки протоколов сетевого уровняTCP/UDP.

Основное поле для использования скрытых каналов это локальные сети, имеющие доступ в Интернет.

Скрытый канал носит свое название в силу того факта, что он спрятан от систем разграничения доступа даже безопасных операционных систем, так как он не использует законные механизмы передачи, такие как чтение и запись, и потому не может быть обнаружен или проконтролирован аппаратными механизмами обеспечения безопасности, которые лежат в основе защищённых операционных систем.

Традиционно скрытые каналы характеризуются как каналы по памяти или каналы по времени/

Скрытый канал по памяти - процессы взаимодействуют благодаря тому, что один может прямо или косвенно записывать информацию в некоторую область памяти, а второй считывать. Обычно имеется в виду, что у процессов с разными уровнями безопасности имеется доступ к некоторому ресурсу (например, некоторые секторы диска).

Скрытый канал по времени - один процесс посылает информацию другому, модулируя свое собственное использование системных ресурсов (например, процессорное время) таким образом, что эта операция воздействует на реальное время отклика, наблюдаемое вторым процессом.

Простейшим скрытым каналом по памяти является возможность показа на уровне Low названий директорий и файлов, созданных на уровне High. В данном случае информация может передаваться в именах файлов, которые выбираются в соответствии с заранее условленным кодом, в атрибутах файлов, в которых информация может кодироваться, размерами файлов, датами изменения файлов и т.д. И, наконец, существование файла с данным названием несет бит информации с верхнего уровня на нижний.

Другим примером канала по памяти является кодирование информации в сохраняемых настройках каких-либо ресурсов общего пользования субъектов уровней High и Low. Настройки, проведенные на уровне High, доступны наблюдению на уровне Low и, следовательно, могут нести информацию, выраженную заранее условленным кодом .

Скрытые каналы по времени впервые стали серьезно рассматриваться с 1976 г., когда один из создателей защищенной операционной системы Multics Миллен продемонстрировал своим коллегам скрытый канал по времени, реализованный на изолированных машинах High и Low. Обе машины были подсоединены к некоторым общим ресурсам ROM, других каналов или связей между ними не было. В подсистемах High и Low находились «Троянские кони». На уровне High «Троянский конь» при нажатии букв на клавиатуре модулировал специальным кодом интервалы времен занятости библиотеки ROM. Время занятости библиотеки верхним уровнем сканировалось запросами в библиотеку «Троянским конем» нижнего уровня. Получившийся скрытый канал по времени позволял в реальном времени печатать информацию, получаемую через скрытый канал с клавиатуры подсистемы уровня High.

Скрытый канал передачи информации через Интернет строится с помощью вписывания сообщения вместо последнего бита оцифрованного изображения, которое передается в качестве легального сообщения. Поскольку последний бит мало влияет на качество изображения, передача информации оказывается скрытой от субъекта, ведущего перехват и допускающего передачу только легальных изображений. Хорошо известен метод борьбы с данным методом стеганографии, заключающийся в изменении формата изображения, например, с помощью компрессии. Данный метод уничтожает скрытый канал указанного вида.

Примером скрытого канала в аналогичной задаче является скрытый канал в TCP/IP протоколе. Поле ISN в TCP-протоколе служит для организации связи клиента с удаленным сервером. Размер этого поля 32 бита. Используя это поле, например в n пакетах, можно осуществить скрытую передачу.

Один из способов организации скрытого канала - перестановка сетевых пакетов определенным образом. При этом на основе заранее оговоренных признаков передается последовательность бит.

Еще один способ организации скрытого канала - использование алгоритмов электронной цифровой подписи. С.В. Белим и А.М. Федосеев в 2007 г. провели исследование и доказали возможность создания скрытых каналов в рамках алгоритма электронной цифровой подписи ГОСТ Р 34.10-2001.

Особо следует выделить два примера каналов по времени, использующих возможности изменять длительности занятости в работе центрального процессора. В первом примере отправитель информации меняет время занятости CPU в течение каждого фрагмента времени, выделенного для его работы. Например, для передачи 0 и 1 одна длина промежутка времени кодирует 1, а другая - 0. В другом случае отправитель использует промежутки времени между обращениями к процессору.

Перехват информации, передаваемой по скрытым каналам, представляет большую сложность. Кажется, что здесь возникают только технологические сложности, связанные с регистрацией и анализом быстро протекающих процессов в компьютерных системах. Вместе с тем доказано, что возможно создание производителем закладок в аппаратных системах, которые могут общаться между собой «невидимо» для большинства средств защиты.

В случае использования методов стеганографии решение задачи выделения скрытых сообщений представляется более оптимистичным. Примером успешного выявления стеганографических вставок является использование скрытого канала в поле ISN протокола TCP, упоминавшегося выше.

Наиболее эффективным способом борьбы со скрытыми каналами является их уничтожение. Например, в приведенных выше примерах скрытых каналов спуска информации при использовании интерфейса RS-232 встраивание между уровнями High и Low устройства, транслирующего байты и рандомизирующего задержку выставления сигнала на верхнем уровне, видимую на нижнем уровне, позволяет полностью уничтожить любой детерминированный скрытый канал по времени и существенно испортить скрытый статистический канал. Аналогичные методы успешно используются для защиты от скрытых каналов при скрытой передаче информации через открытые системы.

Современные специализированные методы обнаружения стеганографического сокрытия информации основаны на обнаружении отклонения статистических характеристик наблюдаемой информации (типов файлов, сообщений) от ее ожидаемой модели. Общий недостаток статистических методов стегоанализа состоит в том, что построение точной математической модели контейнера - возможного носителя скрытой информации - является исключительно сложной и в настоящее время нерешенной задачей. Кроме того, основным ограничением существующих методов является то, что все они позволяют обнаруживать скрытую информацию постфактум.

В России о разработке научной методологии организации борьбы со скрытыми каналами в информационных сетях было заявлено в конце 2006 г. Российские ученые разработали математическую модель построения скрытых каналов, оценки их пропускной способности и методов борьбы с ними.

В 2008м году в Российской Федерации был принят ГОСТ Р 53113.1 «Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения.»

В 2009 году принимается ГОСТ Р 53113.2 «Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов.»

IT-стандарты

В настоящее время все источники, освещающие вопросы информационной безопасности, содержат сведения раскрытые г-ном Сноуденом о скрытых каналах получения информации и умышленно внедряемых в различные технические средства АНБ устройствах негласного доступа к информации (получения, съема).
А что же у нас в стране с решением данной проблемы? Анализируя современную отечественную нормативную базу, можно выделить следующие документы, регламентирующие вопросы выявления и борьбы со скрытыми каналами:
ГОСТ Р 53113.1-2008 «Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения»;
ГОСТ Р 53113.2-2009 «Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов».

В соответствии с ГОСТами определен термин «скрытый канал» – это непредусмотренный разработчиком системы информационных технологий и автоматизированных систем коммуникационный канал, который может быть применен для нарушения политики безопасности.
С помощью скрытых каналов могут быть реализованы следующие нарушения политики безопасности:

• Угроза внедрения вредоносных программ и данных .
• Угроза подачи нарушителем команд агентом для выполнения его функций .
• Угроза утечки криптографических ключей, паролей (несанкционированный доступ к ним) или отдельных информационных объектов .

Интерпретированная модель функционирования скрытого канала представлена на рисунке (из ГОСТР 53113.2-2009):

Создание скрытого канала и осуществление воздействия нарушителя на защищаемые информационные ресурсы в соответствии с приведенной моделью осуществляется следующим порядком:

• 1. В режиме штатного функционирования работа с защищаемыми информационными ресурсами проводится в установленном порядке, субъекты, имеющие санкционированный доступ к ним, осуществляют обработку в соответствии с установленными правилами разграничения доступа. Инспектор отображает отсутствие нарушений политики безопасности.
• 2. В составе средства обработки защищаемых информационных ресурсов присутствуют заранее злонамеренно внедренный агент нарушителя безопасности, который не проявляет своей активности и ни каким образом не обнаруживает своего присутствия в данной ИТ (АС).
• 3. В необходимый для нарушителя момент времени агенту от нарушителя безопасности подается команда на активацию и выполнение своей функциональной нагрузки. Команда может быть подана как по штатным каналам связи ИТ (АС), в случаи наличия возможности такого подключения (например через Интернет), так и дистанционно (например с использованием радиоканалов), при наличии такой возможности у агента нарушителя.
• 4. Внедренный агент нарушителя безопасности реализует свою функциональную нагрузку, при этом канал информационного взаимодействия между нарушителем и внедренным агентом может быть скрыт от инспектора.
• 5. После достижения поставленной задачи работа агента завершается самостоятельно или по команде нарушителя.

В качестве практической реализации подобного подхода, на базе материалов, опубликованных Сноуденом (http://freesnowden.is/2013/12/31/ant-product-data/), в пример можно привести программное средство IRONCHEF, функционирующее на базе аппаратных закладок типов COTTONMOUTH-I (II, III), реализованные устройствами HOWLERMONKEY и TRINITY (можно сказать, «классическое» построение скрытого канала).
Как же проводить работу по выявлению скрытых каналов?
С точки зрения «теории» процесс выявления скрытого канала включает в себя следующие действия:

1. Оценка архитектуры исследуемой системы и имеющихся в ней коммуникационных каналов (рассмотрению подлежат как существующие, так и потенциальные каналы). Оценка архитектуры системы подразумевает выявление всех имеющихся в ней каналов связи (информационного взаимодействия) и анализ взаимодействия ее компонентов на предмет потенциального использования их для организации скрытого канала. В результате проведения такого анализа должны быть выявлены компоненты системы, в которых потенциально могут быть использованы скрытые каналы.
2. Выявление возможных путей обмена скрытой информацией между нарушителем и его предполагаемым агентом в системе.Данная работа выполняется на основании общей схемы модели функционирования скрытого канала. Следует для каждого из защищаемых активов выявить, какие субъекты имеют к ним доступ и при этом изолированы от внешней среды, но имеют возможность взаимодействовать с отдельными субъектами из внешней среды (при этом необходимо учитывать, что подобного рода взаимодействие контролируется владельцем активов и может наблюдаться потенциальным нарушителем).
3. Оценка опасности выявленных скрытых каналов для защищаемых активов организации. После выявления скрытых каналов следует оценить, насколько они реализуемы и опасны для защищаемых активов организации. Для проведения оценки наиболее критичными показателями являются: объем активов, предполагаемая пропускная способность скрытого канала и временной интервал, в течение которого активы сохраняют ценность. Все параметры поддаются числовому исчислению и могут быть использованы в соответствующих аналитических отчетах. На основании этой оценки каналы, не предоставляющие реальной опасности для активов, признаются неопасными.
4. Принятие решения о целесообразности противодействия каждому из выявленных скрытых каналов (минимизации уровня риска).

В качестве защитных мероприятий предлагается использовать:

• снижение/ограничение пропускной способности канала передачи информации (касательно скрытых каналов);
• архитектурные решения построения системы;
• мониторинг эффективности защиты системы.

При этом необходимо заметить, что выбор методов противодействия угрозам, реализуемым с использованием скрытых каналов определяется, исходя из индивидуальных особенностей той или иной защищаемой системы (топология построения системы, используемых протоколов информационного взаимодействия, особенностей расположения элементов системы и их взаимодействия между собой, выбираемых телекоммуникационных средств и средств защиты информации).
В завершении хотелось бы обратиться к методам выявления скрытых каналов. Согласно ГОСТ предлагается два метода:

• статистический метод;
• сигнатурный метод.

Статистический метод выявления скрытых каналов подразумевает сбор статистических данных о пакетах, проходящих через защищаемый участок сети, без внесения в них каких-либо изменений. При этом выявление скрытых каналов может проводиться как в режиме реального времени, так и автономно, используя данные, накопленные за предыдущие отрезки времени.
Метод выявления скрытых каналов на основе сигнатурного анализа аналогичен способу, используемому антивирусным ПО для поиска вредоносных программ. При наличии набора известных реализаций скрытых каналов, для каждой из них формируется сигнатура. В потоке данных проводится поиск таких сигнатур. По результатам этой работы делается вывод об отсутствии или наличии скрытых каналов в системе и варианте его реализации.
Таким образом, подводя итоги, можно заявить, что мы получаем новый виток информационного противостояния «нарушитель - администратор безопасности», который вносит в нашу жизнь как новые технологии и методы нападения, так и новые средства и методы защиты.
Завершить статью хотелось бы такими размышлениями:
Что если мы взглянем на материалы, раскрытые Сноуденом, вот под каким углом. В последнее время появился целый ряд автоматизированных систем, для которых обеспечение конфиденциальности вообще не является приоритетом, например автоматизированные системы управления производственным и технологическим процессом. Нарушение доступности и работоспособности такой системы может привести даже к более тяжелым последствиям для государства или, чем утечка конфиденциальной или секретной информации. Отягчающим является ещё и то, что подавляющее большинство элементной базы для таких систем производится и поставляется из-за границы, а провести полный комплекс мероприятий по поиску возможных скрытых каналов и закладных устройств, для всего перечня ввозимых элементов, невозможно технически. А как стало известно, технические средства иностранного производства могут быть полны неприятных «сюрпризов».
Нельзя обойти стороной и повсеместное развитие сети Интернет, и использование её как транспорта для связи различных корпоративных и промышленных сетей, что автоматически позволяет внешнему злоумышленнику получить управляющий доступ к внедренному закладному устройство или модулю.
Есть над чем думать и работать. Вопрос выявления скрытых каналов в автоматизированных системах организаций становится злободневным, вне зависимости от уровня организации и ее формы собственности. Тайна и является тайной, потому что ее знает ограниченный круг лиц. Плюс к этому можно добавить наличие (получение) негативных эмоций, когда кто-то злоумышленно наносит ущерб Вашей информационной инфраструктуре, в защищенности которой Вы были уверены. И испорченное настроение не самое страшное, если при этом может пострадать бизнес-процесс в организации.

О каналах скрытых, потайных, побочных. И не только. (Часть 1-я)

В.А. Галатенко

О скрытых каналах

Издание Jet Info не первый раз обращается к теме скрытых каналов. В 2002 году ей был посвящен отдельный номер (см. , ), так что в данной работе предполагается, что читатель знаком с основами этой области знания; в противном случается рекомендуется перечесть статью (например, здесь - прим. ред. CITForum.ru). Тем не менее, автор с самого начала хотел бы заметить, что тематика скрытых каналов в ее традиционной трактовке представляется ему несколько надуманной, формальной. Пик исследований в области скрытых каналов приходится на середину 1980-х годов, когда была опубликована "Оранжевая книга" Министерства обороны США, в которой, начиная с класса безопасности B2, было введено требование анализа скрытых каналов. В результате бороться со скрытыми каналами стали, в основном, не ради реальной безопасности, а ради успешной сертификации. Кроме того, скрытые каналы из-за, в общем-то, случайной ассоциации с классами B2 и выше исследовались почти исключительно в контексте многоуровневой политики безопасности, с обязательным упоминанием субъектов HIGH и LOW, моделями невлияния и прочими премудростями. Все это бесконечно далеко от реальных проблем типичных современных информационных систем, да и публикуемые результаты по большей части носят очевидный характер и не представляют ни теоретического, ни, тем более, практического интереса. В статье объяснены концептуальные причины подобного положения дел.

Как было сказано ранее - первопричина существования скрытых каналов и невозможность их устранения при традиционном подходе к построению информационных систем видится нам в следующем. Поскольку такие формальные модели безопасности, как известная модель Белла-Лападула, разграничивают доступ "в принципе", но не содержат понятия времени и не регламентируют конкуренцию за ресурсы, то есть ситуации, когда "в принципе ресурс использовать можно, только в данный момент нельзя - он занят", при любом распределении прав доступа разного рода сигнальные события и, в частности, коллизии вследствие конкуренции могут быть использованы для организации скрытых каналов.

В середине 1980-х годов была предложена систематическая методология выявления скрытых каналов по памяти (см. ), ключевым элементом которой является матрица разделяемых ресурсов. В сетевой среде, в Интернет, легальных разделяемых ресурсов сколько угодно - например, выделяемое пользователям пространство на общедоступных сайтах. Можно воспользоваться и полями заголовков IP-пакетов (скажем, контрольная сумма - превосходный кандидат на эту роль), и начальными порядковыми номерами при установке TCP-взаимодействия (см. ). Можно организовать и практичные скрытые каналы по времени, например, кодируя единицу отправкой пакета в определенный интервал времени, составляющий миллисекунды (см. ).

С появлением мощных многопроцессорных систем с общей памятью полоса пропускания скрытых каналов подскочила до мегабит в секунду и продолжает увеличиваться с ростом быстродействия аппаратуры (см. ). Это, конечно, серьезная проблема, однако для ее решения достаточно отказаться от разделения подобных систем между субъектами с различным уровнем допуска.

Проблема скрытых каналов - это проявление более общей проблемы сложности современных информационных систем. В сложных системах скрытые каналы были, есть и будут, так что бороться нужно с причиной, а не со следствием. В самом общем виде метод борьбы со сложностью систем можно сформулировать как "проведение объектного подхода с физическими границами между объектами". Процессоры не должны разделяться не только между субъектами, но и между потоками управления. Пользовательская сеть должна быть физически отделена от административной. Вообще говоря, компоненты системы не должны доверять друг другу: процессор может не доверять памяти, сетевая карта - процессору и т.п. При выявлении подозрительной активности компоненты должны поднимать тревогу и применять другие защитные меры (например, дисковый контроллер может зашифровать файлы, сетевой контроллер - блокировать коммуникации и т.п.). В общем, на войне как на войне. Если организовать физические границы невозможно, следует воспользоваться виртуальными, формируемыми в первую очередь криптографическими средствами. Более подробное изложение этих вопросов можно найти в работе .

Скрытые каналы можно не только выявлять, но и ликвидировать или зашумлять "не глядя". Как пояснено в , для этого служат разного рода нормализаторы, сглаживающие нагрузку на процессор, энергопотребление, время вычисления определенных функций, сетевой трафик и т.п. Например, ядро операционной системы Asbestos в ответ на запрос о создании порта возвращает новый порт с непредсказуемым именем, поскольку возможность создания портов с заданными именами может служить скрытым каналом.

Накладные расходы на нормализацию могут быть велики, отчего функционирование легальных субъектов может существенно замедляться, так что следует искать и находить разумный компромисс между информационной безопасностью и функциональной полезностью систем. С точки зрения борьбы со сложностью скрытые каналы имеют следующее неприятное свойство. Разделяемые ресурсы, присутствующие на любом уровне информационной системы, начиная с самого нижнего, аппаратного, могут быть использованы на всех вышележащих уровнях, вплоть до прикладного, для организации утечки информации. Централизованный арбитр доступа к памяти в многопроцессорной системе, разделяемый несколькими процессорами кэш второго уровня, устройство управления памятью - все это может служить каналом утечки. Таким образом, при анализе скрытых каналов необходимо рассматривать систему в целом. Попытка проведения так называемой составной сертификации, когда система оценивается на основе ранее проведенных испытаний отдельных модулей или уровней, ведет к пропуску скрытых каналов. Проблема усугубляется тем, что в описании отдельных модулей или уровней необходимые детали могут быть опущены как несущественные. Казалось бы, какая разница, как устроена очередь инструкций, выбранных микропроцессором для исполнения? Однако и это может быть важно для безопасной работы приложения (см. ). Операционная система, успешно прошедшая сертификацию при испытаниях на "голой" аппаратуре, содержит скрытые каналы заметной пропускной способности, если выполняется под управлением монитора виртуальных машин. В общем, разделяемый ресурс - это та самая горошина, которую настоящая принцесса почувствует через любое количество перин. И об этом необходимо помнить.

Подход на основе скрытых каналов активно используется для оценки степени несовершенства реализации таких защитных сервисов, как анонимизаторы и их сети, а также пополнение трафика. Это представляется естественным, так как анонимизация и пополнение трафика - разновидности нормализации, предназначенной для ликвидации скрытых каналов. Если нормализация оказалась несовершенной, значит, скрытые каналы остались. Насколько несовершенной? Настолько, насколько велика утечка информации. Несовершенство анонимизаторов можно оценивать как пропускную способность скрытых каналов утечки информации об отправителе и/или получателе (см. ). Для отдельных анонимизаторов удается получить точное значение, для сетей анонимизаторов - оценку сверху.

Согласно текущим тенденциям, все большая часть Интернет-трафика шифруется (см. ). Шифрование защищает содержимое и заголовки пакетов, дополнение пакетов препятствует получению информации путем анализа их размеров. Однако криптография сама по себе не защищает от анализа поведения пакетов, то есть их распределения во времени, в результате чего может пострадать приватность пользователей. Кроме того, временной анализ SSH-трафика существенно упрощает несанкционированный доступ к пользовательским паролям. Пополнение трафика на канальном уровне - эффективная защитная мера против подобного анализа. Поток данных в канале приобретает заранее заданный характер. Некоторые пакеты задерживаются, а в канал, когда нужно, отправляются фиктивные данные. Это в принципе. На практике же весьма непросто реализовать пополнение так, чтобы наблюдаемый трафик в точности следовал заранее заданному распределению, так что у злоумышленника остается возможность скоррелировать пополненный полезный трафик. Несовершенство реализации пополнения можно оценить как пропускную способность скрытого канала, основанного на варьировании межпакетных интервалов. Оказывается, что в идеальных условиях этот скрытый канал допускает практическое использование. К счастью, в реальной загруженной сети с множеством потоков данных высокий уровень шума в канале затрудняет действия злоумышленника.

Применение аппарата скрытых каналов для оценки степени несовершенства архитектуры и/или реализации сервисов безопасности представляется весьма перспективным направлением исследований.

Красивое применение методов передачи данных, характерных для скрытых каналов по времени, в беспроводных сенсорных сетях удалось найти авторам работы . Одна из главных проблем сенсорных сетей - снижение энергопотребления. Если двоичные значения передаются по беспроводной сети обычным образом, то можно считать, что на это тратится энергия, пропорциональная их логарифму. Однако значения можно передавать и молчанием: послать стартовый бит, заставляющий получателя включить счетчик, выждать время, соответствующее значению, и послать стоп-бит. В результате экономится энергия, но тратится время (пропорциональное значению), однако передачу можно оптимизировать - молчание отлично мультиплексируется, каскадируется и быстро переадресуется.

Конечно, описанный метод передачи данных относится к разряду забавных диковинок. В целом, в настоящее время скрытые каналы являются почти исключительно академически-сертификационной областью. В этом контексте интересна работа , в которой исследуется проблема полноты анализа скрытых каналов. Вводится понятие полного набора скрытых каналов, элементы которого в совокупности порождают максимально возможную скрытую утечку информации (аналогом полного набора может служить базис в векторном пространстве). По мере выявления скрытых каналов их совокупность можно проверять на полноту (с помощью сформулированных в критериев) и получать в результате оценку потенциально возможной утечки информации. Еще один очень важный аспект работы - описание архитектурного подхода к построению систем, облегчающего анализ скрытых каналов. Выявлять по одному скрытые каналы в произвольной информационной системе - задача бесперспективная; целесообразно строить системы неким регулярным образом и затем подвергать их систематическому анализу с учетом их специфики.

На практике ни злоумышленники, ни производители средств информационной безопасности не уделяют скрытым каналам сколько-нибудь заметного внимания. Причина в том, что в современных информационных системах более чем достаточно "грубых" уязвимостей, допускающих несложное использование, поэтому и атакующие, и защищающиеся предпочитают пути наименьшего сопротивления, что вполне естественно. Первые эксплуатируют очевидные "дыры", вторые пытаются их прикрыть.

Потребителям тоже не до скрытых каналов - им бы от червей и вирусов врукопашную отбиться, да найти деньги на прошлогодний снег в упаковке с надписью "системы предотвращения вторжений с известными сигнатурами". И еще терпеливо выслушать поучения производителей дырявого ПО за отсутствие дисциплины управления многочисленными корректирующими заплатами для этого самого ПО.

По поводу уязвимостей есть две новости, и обе хорошие. Первая - проблем с безопасностью базового ПО становится меньше, поэтому злоумышленники более активно эксплуатируют уязвимости приложений. Новость вторая - приложений много. А ведь есть еще фишинг и другие методы морально-психологического воздействия... Поэтому время скрытых каналов, если и придет, то не очень скоро.

Чтобы осознать, сколь скромное место занимают скрытые каналы среди других проблем информационной безопасности, даже если ограничиться только дефектами программного обеспечения, целесообразно рассмотреть классификацию подобных дефектов, предложенную в статье в контексте разработки средств статического анализа исходных текстов с целью выявления ошибок, чреватых возникновением уязвимостей.

Дефекты в ПО могут быть внесены намеренно или по небрежности. Первые подразделяются на злоумышленные и незлоумышленные. Злоумышленные дефекты - это лазейки, логические и временные бомбы; незлоумышленные - скрытые каналы (по памяти или по времени) и несогласованные пути доступа.

Дефекты, внесенные непреднамеренно, делятся на:

ошибки проверки правильности данных (ошибки адресации, в том числе переполнение буферов, некачественные проверки значений параметров, неверное размещение проверок, неадекватная идентификация/аутентификация);

ошибки абстракции (повторное использование объектов, раскрытие внутреннего представления);

асинхронные дефекты (проблемы параллельного выполнения, включая ситуации опережения, активные и пассивные тупики, разрывы между временами проверки и использования, а также наличие нескольких ссылок на один объект);

ненадлежащее использование подкомпонентов (утечка ресурсов, непонимание распределения ответственности);

ошибки функциональности (дефекты обработки исключительных ситуаций, прочие дефекты безопасности).

Чтобы понять, как дефекты безопасности могут быть внесены в программное обеспечение намеренно, но не злоумышленно, рассмотрим скрытый канал, образующийся в дисковом контроллере при оптимизации обслуживания запросов по алгоритму лифта (обращения к диску обрабатываются не в порядке поступления, а по мере того, как штанга с головками достигает запрошенных блоков, см. статью , в которой представлен систематический подход к выявлению скрытых каналов по времени). Злоумышленный отправитель информации может влиять на порядок и, следовательно, время обработки обращений, контролируя направление перемещения штанги с головками путем выдачи собственных запросов к диску в определенном порядке. Здесь в роли разделяемого ресурса, допускающего (злоумышленное) целенаправленное воздействие, выступает общая очередь запросов к дисковым блокам, а также текущая позиция и направление движения штанги. Данный дефект естественно считать внесенным преднамеренно, но не злоумышленно, поскольку скрытый канал образовался не из-за ошибки реализации, а вследствие принятого проектного решения, направленного на оптимизацию функционирования системы.

Самую большую и практически важную группу дефектов, внесенных по небрежности, составляют ошибки проверки правильности данных, точнее, недостаточный контроль входных данных перед их использованием. Разработка методов недопущения или выявления подобных ошибок - задача первостепенной практической важности. А скрытые каналы могут подождать...

О потайных каналах

Как отмечено в работе , в настоящее время происходит становление так называемой многоаспектной информационной безопасности, когда делаются попытки учесть весь спектр интересов (порой конфликтующих между собой) всех субъектов информационных отношений, а также все виды конфигураций информационных систем, в том числе децентрализованные, не имеющие единого центра управления.

Безопасность зависит от субъекта. У пользователя своя безопасность, у поставщика информационного наполнения - своя (и пользователь здесь может считаться врагом). Появляются новые аспекты безопасности, такие как управление цифровыми правами. Эта тенденция особенно наглядно проявляется в применении потайных каналов.

Напомним (см. ), что скрытыми считаются нестандартные каналы передачи информации. Нестандартные способы передачи информации по легальным каналам (именуемыми в данном контексте обертывающими) получили название потайных (subliminal channels) или стеганографических (stego channels) каналов. Общие сведения о них приведены в статье . Потайные каналы используют тогда, когда имеется легальный коммуникационный канал, но что-либо (например, политика безопасности) запрещает передавать по нему определенную информацию.

Отметим, что между скрытыми и потайными каналами имеется два важных отличия. Во-первых, вопреки названию, никто не пытается скрыть существование скрытых каналов, просто для передачи информации используют сущности, для этого изначально не предназначенные, созданные для других целей. Напротив, потайной канал существует только до тех пор, пока о нем не узнал противник. Во-вторых, считается, что время передачи информации по скрытому каналу не ограничено. В противоположность этому, время передачи по потайному каналу определяется характеристиками обертывающего канала. Например, если для тайной передачи информации применяется графический образ, то передать можно только то, что удается поместить в этот образ, не нарушая скрытности.

В целом, потайные каналы гораздо практичнее скрытых, поскольку у них есть легальная основа - обертывающий канал. Потайные (а не скрытые) каналы - наиболее подходящее средство для управления враждебной многоагентной системой. Но в них нуждаются не только злоумышленники. Потайные каналы могут эффективно применяться поставщиками информационного наполнения, встраивающими в него скрытые "цифровые водяные знаки" и желающими контролировать его распространение, соблюдение потребителями цифровых прав. Еще один пример, ставший классическим, - применение потайного канала премьер-министром Великобритании Маргарет Тэтчер, которая, чтобы выяснить кто из ее министров виновен в утечках информации, раздала им варианты одного документа с разными межсловными промежутками.

Разумеется, при весьма общих предположениях потайные каналы нельзя не только устранить, но даже обнаружить (например, в сжатом JPEG-образе всегда найдется место для скрытой информации). По отношению и к скрытым, и к потайным каналам справедливо приведенное в статье положение "Вы всегда можете послать бит".

Содержательным является вопрос о емкости и устойчивости подобных каналов, которые определяются не только полосой пропускания обертывающего канала и характеристиками шума в нем, но и максимальным размером полезной (скрываемой) нагрузки, а также функцией-детектором допустимости передаваемой информации (см., например, статью и цитированные в ней источники, среди которых мы выделим работу ).

Проблематика потайных каналов давно и плодотворно исследуется с позиций теории информации, получено много интересных теоретически и важных практически результатов. Обратим внимание на возможность и эффективность совместного использования скрытых и потайных каналов в сетевой среде. Так, в работе описана реализация сети анонимизаторов (см. ) с помощью HTTP-серверов и клиентов. Web-серфинг служит обертывающим каналом. В роли узлов сети анонимизаторов выступают HTTP-серверы, а взаимодействие между ними осуществляется по скрытым каналам в HTTP/HTML при посредничестве ничего не подозревающих клиентов (в первую очередь - с помощью средств перенаправления запросов и активного содержимого, встроенных, например, в рекламные баннеры, присутствующие на посещаемой Web-странице). В результате можно достичь не только невозможности ассоциации между отправителем и получателем сообщений, но и реализовать более сильное свойство - скрытность (даже в присутствии глобального наблюдателя). Оказывающиеся невольными посредниками Web-серферы пополняют подлежащее анализу множество анонимности, затрудняя тем самым получение наблюдателем полезной информации.

(Разумеется, и злоумышленники, и разработчики защитных средств осознают возможности и проблемы, связанные с использованием HTTP в качестве обертывающего канала. Например, в статье описана обучаемая система Web Tap, выявляющая аномалии в исходящих HTTP-транзакциях.)

Отметим также очевидную связь между интеллектом встроенных агентов (или элементов многоагентной системы) и требуемой пропускной способностью потайных или скрытых каналов для взаимодействия с ними. В заметке приведен пример высокоинтеллектуальной троянской программы, являющейся экспертной системой, встроенной в доверенную (с многоуровневой политикой безопасности) стратегическую систему управления военными поставками и перемещением войск и способной определять по поставкам и перемещениям, возможно ли на следующей неделе начало наступательных военных действий. Если подобная программа будет каждый день передавать всего один бит информации (возможно/невозможно), это окажется весьма ценным для стратегического планирования. В то же время, согласно формальным требованиям "Оранжевой книги", скрытые каналы с полосой пропускания менее одного бита в десять секунд при аудите доверенных систем могут вообще не рассматриваться. (Редкий случай, когда "Оранжевая книга" делает послабление и, как оказывается, напрасно.)

Мораль состоит в том, что при анализе потайных и скрытых каналов вообще и их пропускной способности в частности нужно учитывать специфику информационных систем, ценность информации и семантику взаимодействия. В противном случае результаты анализа рискуют оказаться бессодержательными.

О побочных каналах

Побочные каналы можно считать частным случаем скрытых. В роли (невольных) передатчиков в подобных каналах выступают штатные компоненты информационных систем, а в роли приемников - внешние наблюдатели, применяющие соответствующее оборудование. Чаще всего с помощью побочных каналов измеряется время видимых операций (временные атаки на RSA стали общим местом), их энергопотребление и/или побочные электромагнитные излучения и наводки (ПЭМИН), но для атак могут применяться и акустические каналы, идет ли речь о цифровом замке сейфа или процессоре персонального компьютера, обрабатывающего секретный ключ (см. ).

Побочные каналы представляют собой, вероятно, наиболее наглядное проявление многоаспектности современной информационной безопасности. В роли атакующих на информационные системы (информационное наполнение, банковские карты, SIM-карты сотовых телефонов и т.п.), как правило, выступают их владельцы, располагающие значительным временем и соответствующим инструментарием. В сочетании с принципиальной невозможностью управления физическим доступом, перечисленные факторы делают атаки с использованием побочных каналов особенно опасными.

Объектами атак с использованием побочных каналов чаще всего становятся криптографические компоненты информационных систем, точнее, их секретные ключи. Например, в статье описана атака разбиением на SIM-карты сотовых телефонов (точнее, на алгоритм COMP128, применяемый для аутентификации пользователей и выработки сеансовых ключей), проводимая путем измерения энергопотребления с целью клонирования этих карт. Атаку удалось отточить до такой степени, что для определения секретного 128-битного ключа оказывается достаточно всего восьми измерений с адаптивно выбираемыми входными данными! То есть злоумышленнику достаточно получить SIM-карту буквально на минуту.

Весьма наглядно опасность атак, основанных на дифференциальном анализе энергопотребления, проиллюстрирована в статье . В 1998 году Брюс Шнейер писал, что в галактике не хватит кремния, а у Солнца - времени жизни для реализации атаки методом грубой силы на секретный ключ (112 бит) алгоритма 3DES. Минимальная длина ключа в алгоритме AES - 128 бит, но успешная атака методом дифференциального анализа энергопотребления на незащищенную микросхему, реализующую AES, может быть проведена менее чем за три минуты - от начала измерений до завершения анализа.

Кардинальное решение проблемы побочных каналов возможно при соблюдении следующего основополагающего принципа: данные об операциях, которые можно получить из побочных каналов, должны быть статистически независимы от входных и выходных данных и информации ограниченного доступа. Поскольку защищать от атак с использованием побочных каналов чаще всего приходится системы с весьма ограниченными ресурсами, корректная, полная реализация кардинального принципа - задача весьма непростая. Время операций нормализовать относительно просто, энергопотребление - сложнее, но также возможно (см., например, ), ПЭМИН - еще сложнее. На практике системы укрепляются "по мере сил" (что характерно для современной информационной безопасности вообще), а у мотивированных злоумышленников остается масса возможностей для результативных атак.

Литература

Е.Е. Тимонина -- Скрытые каналы (обзор). -- Jet Info, 2002, 11

А. Галатенко -- О скрытых каналах и не только. -- Jet Info, 2002, 11

R.A. Kemmerer -- A Practical Approach to Identifying Storage and Timing Channels: Twenty Years Later. - Proceedings of the 18th Annual Computer Security Applications Conference (ACSAC"02). -- IEEE, 2002

E. Tumoian , M. Anikeev -- Network Based Detection of Passive Covert Channels in TCP/IP. - Proceedings of the IEEE Conference on Local Computer Networks 30th Anniversary (LCN"05). -- IEEE, 2005

S. Cabuk , C.E. Brodley , C. Shields -- IP Covert Timing Channels: Design and Detection. - Proceedings of the CCS"04. -- ACM, 2004

P.A. Karger , H. Karth -- Increased Information Flow Needs for High-Assurance Composite Evaluations. - Proceedings of the Second IEEE International Information Assurance Workshop (IWIA"04). -- IEEE, 2004

В.Б. Бетелин, С.Г. Бобков, В.А. Галатенко, А.Н. Годунов, А.И. Грюнталь, А.Г. Кушниренко, П.Н. Осипенко -- Анализ тенденций развития аппаратно-программного обеспечения и их влияния на информационную безопасность. - Сб. статей под ред. академика РАН В.Б. Бетелина. -- М.: НИИСИ РАН, 2004

P. Efstathopoulos , M. Krohn , S. VanDeBogart , C. Frey , D. Ziegler , E. Kohler , D. Mazieres , F. Kaashoek , R. Morris -- Labels and Event Processes in the Asbestos Operating System. - Proceedings of the SOOP"05. -- ACM, 2005

Y. Zhu , R. Bettati -- Anonymity v.s. Information Leakage in Anonymity Systems. - Proceedings of the 25th IEEE International Conference on Distributed Computing Systems (ICDCS"05). -- IEEE, 2005

B. Graham , Y. Zhu , X. Fu , R. Bettati -- Using Covert Channels to Evaluate the Effectiveness of Flow Confidentiality Measures. - Proceedings of the 2005 11th International Conference on Parallel and Distributed Systems (ICPADS"05). -- IEEE, 2005

Y. Zhu , R. Sivakumar -- Challenges: Communication through Silence in Wireless Sensor Networks. - Proceedings of the MobiCom"05. -- ACM, 2005

R. Browne -- An Entropy Conservation Law for Testing the Completeness of Covert Channel Analysis. - Proceedings of the CCS"94. -- ACM, 1994

S. Weber , P.A. Karger , A. Paradkar -- A Software Flaw Taxonomy: Aiming Tools At Security. - Proceedings of the Conference on Software Engineering for Secure Systems - Building Trustworthy Applications (SESS"05). -- ACM, 2005

J.C. Wray -- An Analysis of Covert Timing Channels. -- IEEE, 1991

В.Б. Бетелин, В.А. Галатенко, М.Т. Кобзарь, А.А. Сидак, И.А. Трифаленков -- Обзор профилей защиты, построенных на основе "Общих критериев". Специфические требования к сервисам безопасности. -- "Безопасность информационных технологий", 2003, 3

K. Loepere -- Resolving Covert Channels withing a B2 Class Secure System. -- Honeywell Information Systems.

J.J. Harmsen , W.A. Pearlman -- Capacity of Steganographic Channels. - Proceedings of the MM-SEC"05. -- ACM, 2005

I.S. Moskowitz , L. Chang , R. Newman -- Capacity is the Wrong Paradigm. - Proceedings of the 2002 Workshop on New Security Paradigms. -- ACM, 2002

M. Bauer -- New Covert Channels in HTTP. Adding Unwitting Web Browsers to Anonymity Sets. - Proceedings of the WPES"03. -- ACM, 2003

K. Borders , A. Prakash -- Web Tap: Detecting Covert Web Traffic. - Proceedings of the CCS"04. -- ACM, 2004

D. Slater -- A note on the Relationship Between Covert Channels and Application Verification. -- Computer Sciences Corporation, 2005

K. Tiri , I. Verbauwhede -- Simulation Models for Side-Channel Information Leaks. - Proceedings of the DAC 2005. -- ACM, 2005

J.R. Rao , P. Rohatgi , H Scerzer , S. Tinguely -- Partitioning Attacks: Or How to Rapidly Clone Some GSM Cards. - Proceedings of the 2002 IEEE Symposium on Security and Privacy (S&P"02). -- IEEE, 2002

R. Muresan , C. Gebotys -- Current Flattening in Software nad Hardware for Security Applications. - Proceedings of the CODES+ISSS"04. -- ACM, 2004

V. Roth , U. Pinsdorf , J. Peters -- A Distributed Content-Based Search Engine Based on Mobile Code. - Proceedings of the 2005 ACM Symposium on Applied Computing (SAC"05). -- ACM, 2005

M. Carvalho , T. Cowin , N. Suri , M. Breedy , K. Ford -- Using Mobile Agents as Roaming Security Guards to Test and Improve Security of Hosts and Networks. - Proceedings of the 2004 ACM Symposium on Applied Computing (SAC"04). -- ACM, 2004

T. Pedireddy , J.M. Vidal -- A Prototype MultiAgent Network Security System. - Proceedings of the AAMAS"03. -- ACM, 2003

R. Menezes -- Self-Organization and Computer Security. - Proceedings of the 2005 ACM Symposium on Applied Computing (SAC"05). -- ACM, 2005

J. Page , A. Zaslavsky , M. Indrawan -- Countering Agent Security Vulnerabilities using an Extended SENSE Schema. - Proceedings of the IEEE/WIC/ACM International Conference on Intelligent Agent Technology (IAT"04). -- IEEE, 2004

J. Page , A. Zaslavsky , M. Indrawan -- Countering Security Vulnerabilities in Agent Execution using a Self Sxecuting Security Examination. - Proceedings of the AAMAS"04. -- ACM, 2004

J. Ameiller , S. Robles , J.A. Ortega-Ruiz -- Self-Protected Mobile Agents. - Proceedings of the AAMAS"04. -- ACM, 2004

M. Christodorescu , S. Jha -- Testing Malware Detectors. - Proceedings of the ISSTA"04. -- ACM, 2004

M. Christodorescu , S. Jha , S.A. Seshia , D. Song , R.E. Bryant -- Semantics-Aware Malware Detection. - Proceedings of the 2005 IEEE Symposium on Security and Privacy (S&P"05). -- IEEE, 2005

J.A.M. McHugh , F.P. Deek -- An Incentive System for Reducing Malware Attacks. -- Communications of the ACM, 2005, 6

J.V. Harrison -- Enhancing Network Security By Preventing User-Initiated Malware Execution. - Proceedings of the International Conference on Information Technology Coding and Computing (ITCC"05). -- IEEE, 2005

A. Bohra , I. Neamtiu , P. Gallard , F. Sultan , L. Iftode -- Remote Repair of Operating System State Using Backdoors. - Proceedings of the International Conference on Autonomic Computing (ICAC"04). -- IEEE, 2004

F. Sultan , A. Bohra , S. Smaldone , Y. Pan , P. Gallard , I. Neamtiu , L. Iftode -- Recovering Internet Service Sessions from Operating System Failures. -- IEEE Internet Computing, 2005, March/April

J.B. Grizzard , S. Krasser , H.L. Owen , G.J. Conti , E.R. Dodson -- Towards an Approach for Automatically Repairing Compromised Network Systems. - Proceedings of the Third IEEE International Symposium on Network Computing and Applications (NCA"04). -- IEEE, 2004

A. Goel , K. Po , K. Farhadi , Z. Li , E. de Lara -- The Taser Intrusion Recovery System. - Proceedings of the SOSP"05. -- ACM, 2005

J. Levine , J. Grizzard , H. Owen -- A Methodology to Detect and Characterize Kernel Level Rootkit Exploits Involving Redirection of the System Call Table. - Proceedings of the Second IEEE International Information Assurance Workshop (IWIA"04). -- IEEE, 2004

C. Kruegel , W. Robesrtson , G. Vigna -- Detecting Kernel-Level Rootkits Through Binary Analysis. - Proceedings of the 20th Annual Computer Security Applications Conference (ACSAC"04). -- IEEE, 2004

H. Xu , W. Du , S.J. Chapin -- Detecting Exploit Code Execution in Loadable Kernel Modules. - Proceedings of the 20th Annual Computer Security Applications Conference (ACSAC"04). -- IEEE, 2004

Y.-M. Wang , D. Beck , B. Vo , R. Roussev , C. Verbowski -- Detecting Stealth Software with Strider GhostBuster. - Proceedings of the 2005 International Conference on Dependable Systems and Networks (DSN"05). -- IEEE, 2005

S. Ring , D. Esler , E. Cole -- Self-Healing Mechanisms for Kernel System Compromises. - Proceedings of the WOSS"04. -- ACM, 2004

M. Laureano , C. Maziero , E. Jamhour -- Intrusion Detection in Virtual Machine Environments. - Proceedings of the 30th EUROMICRO Conference (EUROMICRO"04). -- IEEE, 2004

M. Vrable , J. Ma , J. Chen , D. Moore , E. Vandekieft , A.C. Snoeren , G.M. Voelker , S. Savage -- Scalability, Fidelity, and Containment in the Potemkin Virtual Honeyfarm. - Proceedings of the SOSP"05. -- ACM, 2005

S. Ring , E. Cole -- Taking a Lesson from Stealthy Rootkits. -- IEEE Security & Privacy, 2004, July/August

W. Shi , H.-H.S. Lee , G. Gu , L. Falk -- An Intrusion-Tolerant and Self-Recoverable Network Service System Using A Security Enhanced Chip Multiprocessor. - Proceedings of the Second International Conference on Autonomic Computing (ICAC"05) -- IEEE, 2005

Введение.

1 Анализ существующих методов обнаружения вторжений.

1.1 Основные понятия.

1.2 Типовая структура СОВ.

1.3 Методологии обнаружения вторжений.

1.4 Обнаружение злоупотреблений.

1.4.1 Сопоставление строк.

1.4.2 Использование экспертных систем.

1.4.3 Анализ переходов между состояниями.

1.4.4 Методы добычи данных.

1.5 Обнаружение аномалий.

1.5.1 Статистические методы.

1.5.2 Предсказание поведения.

1.5.3 Методы добычи данных.

1.5.4 Нейросетевые методы.

1.5.5 Обнаружение аномалий в последовательностях системных вызовов.

1.6 Классификация СОВ.

1.7 Цели и задачи исследования.

1.8 Выводы.

2 Разработка модели системы обнаружения вторжений на основе СММ.

2.1 Сведения из теории СММ.

2.1.1 Основные определения.

2.1.2. Постановка типовых задач, связанных с СММ.

2.1.3 Решение задачи оценивания.

2.1.4 Решение задачи распознавания.

2.1.5 Решение задачи обучения.

2.1.6 Применение масштабирования в алгоритмах СММ.

2.1.7 Решение задачи обучения для множественных последовательностей наблюдений.

2.2 Принцип функционирования модели COA.

2.2.1 Общая схема COA.

2.2.2 Этапы функционирования системы.

2.2.3 Выбор используемой подсистемы аудита.

2.2.4 Формирование профиля нормального поведения процесса.

2.2.5 Алгоритм обнаружения аномалий в работе процесса.

2.3 Исследование возможности работы разработанной COA в составе комплексной СОВ.

2.4 Выводы.

3 Экспериментальное исследование модели системы обнаружения вторжений

3.1 Описание тестовой базы данных.

3.1.1 Обоснование выбора тестовой базы данных.

3.1.2 Данные процесса 1рг.

3.1.3 Данные процесса named.

3.1.4 Данные процесса xlock.

3.1.5 Данные процесса login.

3.1.6 Данные процесса ps.

3.1.7 Данные процесса inetd

3.1.8 Данные процесса stide.

3.2 Иллюстрация работы алгоритма обнаружения аномалий на примере данных процесса named.:.

3.3 Исследование зависимости эффективности обнаружения вторжений от выбранного числа состояний СММ.

3.3.1 Постановка задачи исследования.

3.3.2 Процесс lpr.

3.4 Обсуждение результатов экспериментов.

3.5 Выводы.

4 Разработка параллельного алгоритма обучения СММ.

4.1 Известные решения по ускорению обучения СММ.

4.2 Обоснование возможности эффективной организации параллельных вычислений в алгоритме обучения СММ.

4.2.1 Анализ алгоритма обучения СММ для однократных последовательностей наблюдений.

4.2.2 Анализ алгоритма обучения для многократных последовательностей наблюдений.

4.3 Разработка параллельного алгоритма обучения СММ.

4.4. Теоретическая оценка эффективности параллельного алгоритма.

4.5 Особенности программной реализация параллельного алгоритма обучения СММ.

4.5.1 Выбор средств реализации.

4.5.2 Описание программной реализации.

4.5.3 Экспериментальное подтверждение функционального соответствия параллельной и последовательной реализаций алгоритма обучения СММ.

4.6 Выводы.

5 Экспериментальное исследование эффективности параллельного алгоритма обучения СММ.

5.1 Условия проведения экспериментов.

5.2 Исследование эффективности работы параллельного алгоритма обучения СММ на сетевом кластере.

5.3 Исследование эффективности работы параллельного алгоритма обучения СММ на многопроцессорном кластере.

5.4 Выводы.

Введение диссертации (часть автореферата) на тему "Разработка алгоритмических и программных средств, повышающих эффективность обнаружения вторжений на основе использования скрытых марковских моделей"

В связи с совершенствованием вычислительной техники и бурным ростом телекоммуникационных технологий, наблюдается повышение сложности используемого программного обеспечения. В таких условиях усложняется анализ разрабатываемых программ с точки зрения безопасности. По данным Национального института стандартов и технологий США (NIST), если количество зарегистрированных уязвимостей широко используемого программного обеспечения до 1996 года составляло десятки в год, то в 2004 году этот показатель достиг 2356, в 2005 году - 4914, и в 2006 - 6600 .

Рост числа уязвимостей программного обеспечения обуславливает актуальность не только таких превентивных мер противодействия, как использование межсетевых экранов и обманных систем, но также и внедрения систем обнаружения вторжений (СОВ), позволяющих активно противодействовать попыткам несанкционированного доступа. При этом очевидно, что со временем СОВ, целиком основанные на использовании пополняемых баз сигнатур известных вторжений, не будут способны гарантировать оперативное обнаружение вторжений, основанных на только что открытых уязвимостях.

В последнем выпуске ежегодного бюллетеня института SANS, отражающего десять наиболее важных тенденций в развитии информационной безопасности , прогнозируется дальнейший рост эксплуатации неизвестных ранее уязвимостей (0-day vulnerabilities), а также увеличение числа скомпрометированных узлов глобальной сети, позволяющих злоумышленникам осуществлять распределённые атаки и затруднять впоследствии поиск источника вторжения. В таких условиях актуальность приобретает развитие новых подходов к обнаруженшо вторжений, обеспечивающих своевременное обнаружение факта вторжения вне зависимости от наличия его точной сигнатуры.

Актуальность темы

Основной проблемой, с которой сталкиваются разработчики современных систем обнаружения вторжений (СОВ), является низкая эффективность существующих механизмов обнаружения принципиально новых видов вторжений, признаки которых не изучены и не занесены в базы данных сигнатур. Развитая в последние годы теория обнаружения аномалий, призванная решить эту проблему, не находит широкого применения из-за низкой надёжности используемых методов. Системы, построенные на основе этой теории, характеризуются недопустимо высоким уровнем ложных срабатываний.

В последнее время распространение получили более эффективные методы обнаружения вторжений, основанные на анализе последовательностей системных вызовов, поступающих к ядру операционной системы. Среди них одним из наиболее перспективных направлений является использование скрытых марковских моделей (СММ) для описания модели профиля нормального поведения того или иного процесса и обнаружения отклонений от этого профиля, свидетельствующих о возможном вторжении. Методы, основанные на использовании СММ, превосходят другие методы в эффективности обнаружения, однако требуют применения более трудоёмких алгоритмов .

Таким образом, задача исследования и совершенствования подхода к обнаружению вторжений с использованием СММ является актуальной.

Целью работы является разработка метода обнаружения вторжений на основе подхода, предполагающего использование СММ для описания профилей процессов. Разработанный метод позволяет уменьшить время обучения СММ для их более эффективного использования при решении задач обнаружения вторжений.

Исходя из основной цели данной работы, определяется перечень решаемых задач:

1) Разработать модель системы обнаружения вторжений.

2) Разработать алгоритмы формирования профилей нормального поведения процессов в виде СММ и обнаружения вторжений с их помощью.

3) Разработать параллельный алгоритм обучения для уменьшения времени обучения СММ.

4) Провести экспериментальное исследование и сравнительный аиализ последовательного и параллельного алгоритма обучения СММ.

В рамках исследования используются методы теории вероятностей и математической статистики, математического моделирования, теории алгоритмов, теории параллельных вычислений. Широко применялось компьютерное моделирование, в том числе и с использованием самостоятельно разработанного программного обеспечения.

Основные результаты, выносимые на защиту

1) Модель СОВ, основанная на обнаружении аномалий в последовательностях системных вызовов, идущих от контролируемых процессов, использует профили нормального поведения контролируемых процессов в виде СММ. В основе модели лежит метод, позволяющий локализовать аномалию, вызванную вторжением, с точностью до системного вызова, основываясь на условной вероятности его возникновения.

2) Параллельный масштабируемый алгоритм обучения СММ для множественных последовательностей наблюдений, позволяющий проводить обучение СММ быстрее, чем широко используемый в настоящее время последовательный алгоритм Баума-Уэлча.

Научная новизна работы заключается в следующем:

Разработан метод обнаружения вторжений, использующий профили нормального поведения контролируемых процессов в виде СММ. Метод позволяет локализовать аномалию, вызванную вторжением, с точностью до системного вызова, основываясь на условной вероятности его возникновения.

Разработан масштабируемый параллельный алгоритм обучения СММ для множественных последовательностей наблюдений, реализованный с помощью технологии MPI. Реализация параллельного алгоритма демонстрирует производительность близкую к теоретическому пределу даже при работе на недорогих сетевых кластерах, развёрнутых на вычислительных сетях типа Fast Ethernet.

Практическая значимость и внедрение результатов работы

Практическая значимость результатов диссертации заключается в следующем:

Разработана модель системы обнаружения вторжений, основанная на обнаружении аномалий в последовательностях системных вызовов, идущих от контролируемых процессов. Принципы, заложенные в систему, позволяют обнаруживать вторжения, признаки (сигнатуры) которых априорно не известны.

Разработан параллельный алгоритм обучения СММ, позволяющий сократить время их обучения. Использование алгоритма возможно в других приложениях СММ, например, в распознавании речи, оптическом распознавании текста, генетике.

Разработана параллельная программа быстрого обучения СММ, обеспечивающая производительность, близкую к теоретическому пределу даже при запуске на недорогих сетевых кластерах.

Основные результаты исследований использованы на кафедре «Безопасность информационных технологий» Технологического института Южного федерального университета в г. Таганроге при выполнении ряда научно-исследовательских и опытно-конструкторских работ для государственного заказчика, научных исследований, поддержанных грантом

РФФИ, а также совместным грантом Министерства образования и науки Российской Федерации и Германской службы академических обменов (DAAD).

Достоверность полученных результатов подтверждается полнотой и корректностью теоретических обоснований и результатами экспериментов, проведенных с помощью разработанных в диссертации программ.

Публикации

По теме диссертации имеется 12 публикаций, из них 11 научных статей и тезисов докладов и одно свидетельство о регистрации программы для ЭВМ. Три статьи опубликованы в журнале «Известия Таганрогского государственного радиотехнического университета (ТРТУ)» за 2003-2005 гг. из перечня, рекомендованного ВАК РФ для публикации результатов диссертационных работ.

Основные результаты работы докладывались и обсуждались на:

1) Международных научно-практических конференциях «Информационная безопасность», Таганрог, 2002, 2003, 2004 и; 2005 гг.

2) XXXIII региональной молодёжной конференции «Проблемы-теоретической и прикладной математики», Екатеринбург, 2002 г.

3) Конференциях профессорско-преподавательского состава Таганрогского государственного радиотехнического университета, Таганрог, 2004 и 2005 гг.

4) Семинаре стипендиатов программы «Михаил Ломоносов», Бонн (Германия), 2005 г.

5) Международной конференции «Информатика и информационные технологии» ("Computer Science and Information Technologies"), Карлсруэ (Германия), 2006 г.

Структура и объем диссертации

Диссертационная работа состоит из введения, пяти глав, заключения, списка использованных источников (113 наименований) и приложения. Общий объем работы - 158 страниц. В работе приведен графический материал в объеме 19 рисунков, содержится 28 страниц приложений.

Заключение диссертации по теме "Методы и системы защиты информации, информационная безопасность", Аникеев, Максим Владимирович

5.4 Выводы

1) Проведено экспериментальное исследование эффективности параллельного алгоритма обучения СММ на сетевом кластере. Данные исследований демонстрируют возможность реализации алгоритма на недорогих сетевых кластерах с небольшим числом узлов, при этом достигаются значения ускорения близке к теоретическому пределу.

2) При исследованиях с использованием многопроцессорного кластера наблюдается близкий к линейному рост ускорения до достижения им практического предела. Это свидетельствует о высокой эффестивности использования вычислительных ресурсов при распараллеливании.

Заключение

В соответствии с поставленными целями, в итоге проведенных исследований и разработок были получены следующие основные научные результаты:

1) Разработана модель СОВ, основанная на обнаружении аномалий в последовательностях системных вызовов, идущих от контролируемых процессов. Принципы, заложенные в систему, позволяют обнаруживать вторжения, признаки (сигнатуры) которых априорно не известны. Модель использует профили нормального поведения контролируемых процессов в виде СММ. В основе модели лежит метод, позволяющий локализовать аномалию, вызванную вторжением, с точностью до системного вызова, основываясь на условной вероятности его возникновения. Исследована возможность интеграции модели в состав комплексной СОВ.

2) Проведено экспериментальное исследование зависимости показателей эффективности обнаружения вторжений от выбранного числа состояний СММ. Установлено, что процесс обучения СММ зачастую сходится к локальному минимуму целевой функции. Этот факт ещё более усложняет процесс обучения, так как возникает дополнительная необходимость поиска значения числа состояний, обеспечивающего необходимые уровни вероятностей правильного обнаружение и ложного срабатывания. Таким образом, задача сокращения времени обучения СММ становится ещё более актуальной.

3) Разработан параллельный масштабируемый алгоритм обучения СММ, позволяющий проводить обучение быстрее, чем широко используемый в настоящее время последовательный алгоритм Баума-Уэлча для множественных последовательностей наблюдений, а также его программная реализация на основе технологии MPI. Использование алгоритма возможно в других приложениях СММ, например, в распознавании речи, оптическом распознавании текста, генетике.

4) Проведено экспериментальное исследование эффективности параллельного алгоритма обучения СММ. Данные исследований демонстрируют возможность реализации алгоритма на недорогих сетевых кластерах с ускорением близким к теоретически предельному.

Список литературы диссертационного исследования кандидат технических наук Аникеев, Максим Владимирович, 2008 год

1. National Institute of Standards and Technology. E-resource. - Available: http://nvd.nist.gov.

2. The ten most important security trends of the coming year / Edited by S. Northcutt et al. - SANS Institute, 2006. - 3 p. - Available: http://www.sans.org/resources/10securitytrends.pdf.

3. Kumar, S. Classification and detection of computer intrusions: PhD thesis. -Purdue university, 1995. - 180 p.

4. Лукацкий, А. В. Обнаружение атак. - СПб.: БХВ-Петербург, 2001. -624 с.

5. Милославская, Н. Г., Толстой, А. И. Интрасети: обнаружение вторжений: Учеб. пособие для вузов. - М.: Юнити-Дана, 2001. - 587 с.

6. Lundin, Е., Jonsson, Е. Survey of intrusion detection research: Technical report No. 02-04. - Goteborg: Chalmers University of Technology, 2002 - 43 p.

7. Denning, D. E. An intrusion-detection model // IEEE Transaction on software engineering. - 1987. -No. 2. - P. 222-232.

8. Hansen, S. E., Atkins, E. T. Automated system monitoring andthnotification with swatch // Proc. 7 System Administration Conference (LISA 93). - Monterey. - 1993. - P. 101-108.

9. Абрамов, E. С. Разработка и исследование методов построения систем обнаружения атак: дис. . канд. техн. наук: 05.13.19 - Таганрог, 2005. - 140 с.

10. Абрамов, Е. С. Разработка методов функционального тестирования СОА // Сборник научных трудов XI всероссийской научной конференции «Проблемы информационной безопасности в системе высшей школы». - М.: МИФИ, 2004.

11. Wu, S., Manber, U. Fast text searching with errors. Technical report TR 91-11. -Tucson: Univ. of Arizona, 1991. - 18 p.

12. Lindqvist, U., Porras, P. A. Detecting computer and network misuse through the production-based expert system toolset (P-BEST) // Proc. 1999 IEEE Symposium of Security and Privacy, Oakland, California, May 1999. - IEEE Сотр. Soc., 1999, -P. 141-161.

13. Snort - the de facto standard for intrusion detection/prevention. - 2006. - Available: http://snort.org

14. Snort™ user manual. 2.6.0. - Sourcefire, Inc., 2006. - Available: http://snort.Org/docs/snortmanual/2.6/snortmanual.pdf

15. Habra, N., Le Charlier, В., Mounji, A., Mathieu, I. ASAX: Software architecture and rule-based language for universal audit trail analysis // European Symposium on Research in Computer Security (ESORICS). - 1992. - P. 435450.

16. Porras, P. A., Neumann, P. G. Emerald: Event monitoring enabling responses to anomalous live disturbances. - Proc. 20th National Information Systems Security Conference. - Baltimore: NIST/NCSC, 1997. - P. 353-365.

17. Vigna, G., Eckmann S. Т., Kemmerer, R. A. The STAT tool suite // Proc. DISCEX 2000. - IEEE Press, 2000.

18. Ilgun, K., Kemmerer, R. A., Porras, P. A. State transition analysis: a rule-base intrusion detection approach // IEEE Trans. Software Engineering. - No. 3, Vol. 21.- 1995.- P. 181-199.

19. Sun, J. BSM security auditing for Solaris servers. GIAC security essentials certification practical. - 2003. - 12 p. - Available: http://www.giac.org/practical/gsec/JohnSunGSEC.pdf

20. Eckmann, S. T., Vigna, G., Kemmerer, R. A. STATL: An attack language for state-based intrusion detection. - 2000. -24 p. - Available: http://citeseer.ist.psu.edu/452116.html

21. Kumar, S., Spafford, E. H. A pattern-matching model for misusefUintrusion detection. // Proc. 17 National Computer Security Conference. - 1994. - P. 11-21.

22. Lee, W., Stolfo, S. J., Mok, K. W. Adaptive Intrusion- Detection: A Data Mining Approach // Artificial Intelligence Review. - 2000. - Vol. 14, No. 6.-P. 533-567.

23. Fink, G., Levitt, K. Property-based testing of privileged programs // Proc. 10th Annual Computer Security Applications Conference. - IEEE, 1994. - P. 154-163.

24. Ko, C., Fink, G., Levitt, K. Automated detection of vulnerabilities in privileged programs by execution monitoring // Proc. 10th Annual Computer Security Applications Conference. - IEEE Comp. Soc. Press, 1994. - P. 134144.

25. Forrest, S., Hofmeyr, S. A., Somayaji, A., Longstaff, T. A. A sense of self for Unix processes // Proc. 1996 IEEE Symposium on Security and Privacy. - IEEE Comp. Soc. Press, 1996. - P. 120-128.

26. Ghosh, A. K., Wanken, J., Charron, F. Detecting anomalous and unknown intrusions against programs // Proc. Annual Computer Security Applications Conference (ACSAC"98), December 1998. - 1998. - P. 259-267.

27. Eslcin, E. et al. Adaptive model generation for intrusion detection. I I Proc. ACMCCS Workshop on Intrusion Detection and Prevention, Athens, Greece, 2000. - 2000. - Available: http://citeseer.ist.psu.edu/eskinOOadaptive.html.

28. Okazaki, Y., Sato, L, Goto, S. A new intrusion detection method based on process profiling. // Proc. IEEE Symposium on Applications and the Internet (SAINT"02). - 2002. - P. 82-91.

29. Cho, S.-B. Incorporating soft computing techniques into a probabilistic intrusion detection system. // IEEE Transactions on Systems, Man, and Cybernetics, Part C. - Vol. 32, No.2, 2002. - P. 154-160.

30. Yin, Q., Shen, L., Zhang, R., Li, X. A new intrusion detection methodfhbased on behavioral model. // Proc. 5 World Congress on Intelligent Control and Automation, June 15-19, 2004, Hangzhou, P. R. China. - 2004. - P. 4370-4374.

31. Gudkov, V., Johnson, J. E. New approach for network monitoring and intrusion detection // CoRR. - 2001. - Vol. cs.CR/0110019. - Available: http://arxiv.org/abs/cs.CR/0110019.

32. Gudkov, V., Johnson, J. E. Multidimensional network monitoring for intrusion detection // CoRR. - 2002. - Vol. cs.CR/0206020. - Available: http://arxiv.org/abs/cs.CR/0206020.

33. Barford, P., Plonka, D. Characteristics of network traffic flow anomalies // Proc. 1st ACM SIGCOMM Workshop on Internet Measurement, San Francisco, California, USA, November 1-2, 2001. - ACM, 2001. - P. 69-73.

34. Smaha, S. E. Haystack: an intrusion detection system // Proc. 4th IEEE Aerospace Computer Security Applications Conference. - Orlando, FL: IEEE, 1988. -P. 37-44.

35. Lane, T., Brodley, C. E. Sequence matching and learning in anomaly detection for computer security // Proc. AAAI-97 Workshop on AI Approaches to Fraud Detection and Risk Management. - 1997. - P. 43-49.

36. Lane, T., Brodley, C. E. An application of machine learning to anomaly detection // Proc. of the 12th National Information Systems Security Conference. - Vol. 1. - Gaithersburg, MD: NIST, 1997. - P. 366-380.

37. Lane, T. Filtering techniques for rapid user classification // Proc. AAAI-98/ICML-98 Joint Workshop on AI Approaches to Time-series Analysis. - Menlo Park, CA: AAAI Press, 1998. - P. 58-63.

38. Lane, T., Brodley, C. E. Temporal Sequence Learning and Data Reduction for Anomaly Detection // Proc. 5th ACM Conference on Computer and Communications Security. - Assoc. for Computing Machinery, 1998. - P. 150158.

39. Lane, T. Hidden Markov models for human/computer interface modeling // Proc. IJCAI-99 Workshop on Learning About Users. - 1999. - P. 35-^4.

40. Debar, H., Becker, M., Siboni, D. A neural network component for an intrusion detection system // Proc. 1992 IEEE Comp. Soc. Symposium on Research in Security and Privacy. - Los Alamos, CA: IEEE Comp. Soc. Press, 1992. -P. 240-250.

41. Cannady, J. Artificial neural networks for misuse detection // Proc. 1998 National Information Systems Security Conference (NISSC"98). - 1998. - P. 443-456.

42. Сидоров, И. Д., Аникеев, М. В. Нейросетевое обнаружение аномального поведения пользователя в консольном режиме ОС Linux // Материалы VI Международной научно-практической конференции «Информационная безопасность». - Таганрог: ТРТУ, 2004. - С. 159-161.

43. Tumoian, Е., Anikeev, М. Network-based detection of passive covert Channels in TCP/IP // LCN *05: Proc. IEEE Conf. on Local Computer Networks. - Washington, DC: IEEE Comp. Soc., 2005 - P. 802-809.

44. Elman, J. L. Finding structure in time // Cognitive Science. - 1990. - Vol. 14, No. 2. - P. 179-211.

45. Fink, G., Ko, C., Archer, M., Levitt, K. Towards a property-based testing environment with applications to security-critical software // Proceedings of the 4th Irvine Software Symposium. - 1994. - P. 39-48.

46. Warrender, C., Forrest, S., Pearlmutter, B. A. Detecting intrusions using system calls: alternative data models // Proc. IEEE Symposium on Security and Privacy. - Oakland, CA: IEEE Comp. Soc., 1999. - P. 133-145.

47. Hofmeyr, S. A., Forrest, S., Somayaji, A. Intrusion detection using sequences of system calls // Journal of Computer Security. - 1998. - Vol. 6, No. 3. -P. 151-180.

48. Cohen, W. W. Fast effective rule reduction // Machine Learning: the 12th Intl. Conference. - Morgan Kaufmann, 1995. - P. 115-123.

49. Yin, Q.-B. et al. Intrusion detection based on hidden Markov model. - Proc. 2nd Intl. Conference on Machine Learning and Cybernetics. Xi"an, November. 2003. - IEEE, 2003. - Vol. 5. - P. 3115-3118.

50. Wespi, A., Dacier, M., Debar, H. An intrusion-detection system"based" on the TEIRESIAS pattern-discovery algorithm // Proc. EICAR"99. - Aalborg, Denmark: Aalborg Universitet, 1999.- P. 1-15.

51. Rigoutsos, I., Floratos, A. Combinatorial pattern discovery in biological sequences: the TEIRESIAS algorithm // Bioinformatics. - 1998. - Vol.14, No. 1. -P. 55-67.

52. Marceau, C. Characterizing the behavior of a program using multiple-length N-grams // Proc. 2000 workshop on New security paradigms. - Ballycotton, County Cork, Ireland: ACM Press, 2000. - P. 101-110.

53. Ghosh, A., Wanken, J., Charron, F. Detecting anomalous and unknown intrusions against programs // Proc. 1998 Annual Computer Security Applications Conference (ACSAC"98). - Los Alamitos, CA: IEEE Comp. Soc, 1998. - P. 259-267.

54. Ghosh, A., Schwartzbard, A., Schatz, M. Learning program behavior profiles for intrusion detection // Proc. 1st USENIX Workshop on Intrusion Detection and Network Monitoring. - 1999. -P. 51-62.

55. Yeung, D., Ding, Y. Host-based intrusion detection using dynamic and static behavioral models // Pattern Recognition. - 2002. - Vol. 36. - P. 229243.

56. Al-Subaie, M., Zulkernine, M. Efficacy of hidden Markov models overthneural networks in anomaly intrusion detection // Proc. 30 Annual International Computer Software and Applications Conference (COMPSAC). - Chicago: IEEE CS Press, 2006. - P. 325-332.

57. Heberlein, L. T. Network security monitor. Final report. - Davis, CA: UC Davis, 1993. - 53 p. - Available: http://seclab.cs.ucdavis.edu/papers/NSM-final.pdf.

58. Paxson, V. Bro: a system for detecting network intruders in real-time // Computer Networks (Amsterdam, Netherlands: 1999). - 1999. - Vol. 31, No. 23-24.-P. 2435-2463.

59. Ilgun, K. USTAT: a real-time intrusion detection system for UNIX // Proc. 1993 IEEE Symposium on Research in Security and Privacy. - Oakland, CA: IEEE Comp. Soc, 1993. - P. 16-28.

60. Staniford-Chen, S. et al. GrIDS - A graph-based intrusion detection system for large networks // Proc. 19th National Information Systems Security Conference. - 1996. - P. 361-370.

61. Jou, Y. F, Gong, F., Sargor, C., Wu, S. F., Cleaveland, W. R. Architecture design of a scalable intrusion detection system for the emerging network infrastructure. Technical Report CDRL A005. - Releigh: North Carolina State University, 1997. - 42 p.

62. Somayaji, A., Forrest, S. Automated response using system-call delays // Proc. USENIX Security Syposium. - Denver: USENIX, 2000. - P. 185-197.

63. Рабинер, JI. Р. Скрытые марковские модели и их применение в избранных приложениях при распознавании речи: обзор // ТИИЭР. - 1989. - т. 77, №2. -С. 86-120.

64. Baum, L. Е., Sell, G. R. Growth functions for transformations and manifolds // Pacific Journal of Mathematics. - 1968. - Vol. 27, No. 2. - P. 211-227.

65. Sun, J. BSM Security Auditing for Solaris Servers. - Bethesda, Mayland: SANS, 2003. - 12 p. - Available: http://www.securitydocs.com/go/2329.

66. The Linux BSM project Е-resource. - 2001. - Available: http://linuxbsm.sourceforge.net.

67. TrustedBSD - OpenBSM Е-resource. - 2006. - Available: http://www.trustedbsd.org/openbsm.html.

68. Trusted Computer System Evaluation Criteria, DoD 5200.28-STD. - Fort Meade, MD: National Computer Security Center, 1985. - 116 p. - Available: http://csrc.nist.gov/publications/history/dod85.pdf.

69. Computer Immune Systems - Data Sets and Software Е-resource. - Albuquerque, NM: University of New Mexico, 2004. - Available: http://www.cs.unm.edu/~immsec/data-sets.htm.

70. Baras, J. S., Rabi, M. Intrusion detection with support vector machines and generative models. Technical report TR 2002-22. - College Park: University of Maryland, 2002. - 17 p.

71. Hoang, X. D., Hu, J., Bertok, P. A multi-layer model for anomaly intrusion detection using program sequences of system calls. - Proc. ICON"2003. The 11th IEEE Conference on Networks. - IEEE, 2003. - P. 531-536.

72. Raj wade, A. Some experiments with hidden Markov models. Technical report. - University of Florida, 2005. - 18 p. - Available: http://www.cise.ufl.edu/~avr/HMM.pdf.

73. Gtinter, S., Bunlce, H. Optimizing the number of states, training iterations and Gaussians in an HMM-based handwritten word recognizer // Proc. 7th Intl. Conf. on Document Analysis and Recognition, Edinburgh, Scotland. - 2003. - Vol. 1. - P. 472-476.

74. Аникеев, M. В. Выбор достаточного числа состояний в скрытых марковских моделях для решения задач обнаружения аномалий // Известия ТРТУ. -2005. -№9. -С. 133.

75. Аникеев, М. В. Метод обнаружения аномалий на основе скрытых марковских моделей с поиском оптимального числа состояний // Материалы VII Международной научно-практической конференции «Информационная безопасность». - Таганрог, ТРТУ: 2005. - С. 58-60.

76. Noise reduction in speech application / Edited by G. M. Davis. - Boca Raton, FL: CRC Press LLC, 2002. - 432 p.

77. Ронжин, A. JL, Карпов, А. А., Ли, И. В. Система автоматического распознавания русской речи SIRIUS // Научно-теоретический журнал «Искусственный интеллект». - 2005. - №3. - С. 590-601.

78. Eickeller, S., Mtiller, S., Rigoll, G. Recognition of JPEG compressed face images based on statistical methods // Image and Vision Computing. - 2000. - Vol. 18. -P. 279-287.

79. Elms, A. J., Procter, S., Illingworth, J. The advantage of using and HMM-based approach for faxed word recognition // International Journal on Document Analysis and Recognition (IJDAR). - 1998. - No. 1(1). - P. 18-36.

80. Kulp, D., Haussler, D., Reese, M. G., Eeckman, F. H. A generalized hidden Markov model for the recognition of human genes in DNA // Proc. 4th Intl. Conf. on Intelligent Systems for Molecular Biology. - 1996. - P. 134-142.

81. Henderson, J., Salzberg, S., Fasman, К. H. Finding genes in DNA with a hidden Markov model // Journal of Computational Biology. - 1997. - Vol. 4, No. 2. -P. 127-142.

82. Моттль, В. В., Мучник, И. Б. Скрытые марковские модели в структурном анализе сигналов. -М.: Физматлит, 1999. - 352 с.

83. Turin, W., van Nobelen, R. Hidden Markov modeling of flat fading channels // IEEE Journal on Selected Areas is Communications. - 1998. - Vol. 16. -P. 1809-1817.

84. Nechyba, M. C., Xu, Y. Stochastic similarity for validating human control strategy models // IEEE Trans. Robotics and Automation. - 1998. - Vol. 14, Issue 3, -P. 437-451.

85. Mangold, S., Kyriazakos, S. Applying pattern recognition techniques based on hidden Markov models for vehicular position location in cellular networks // Proc. IEEE Vehicular Technology Conference. - 1999. - Vol. 2. - P. 780-784.

86. Chari, S. N., Cheng, P. C. BlueBoX: a policy-driven host-based intrusion detection system // ACM Trans, on Information and System Security. - 2003. - Vol. 6. - P. 173-200.

87. Kang, D.-K., Fuller, D., Honavar, V. Learning classifiers for misuse detection using a bag of system calls representation // Lecture Notes in Computer Science. -2005, -Vol. 3495. -P. 511-516.

88. Valdes, A., Skinner, K. Probabilistic alert correlation // Lecture Notes in Computer Science. - 2001. - Vol. 2212. -P. 54-68.

89. Goldman, R. P., Heimerdinger, W., Harp, S. A. Information modeling for intrusion report aggregation // Proc. of the DARPA Information Survivability Conference and Exposition (DISCEX II). -Anaheim: IEEE Comp. Soc., 2001. - P. 329-342.

90. Cuppens, F., Miége, A. Alert correlation in a cooperative intrusion detection framework // IEEE Symposium on Security and Privacy. - 2002. -P. 187-200.

91. Turin, W. Unidirectional and parallel Baum-Welch algorithms // IEEE Trans. Of Speech and Audio Processing. - 1998. - Vol. 6, issue 6. - P. 516523.

92. Espinosa-Manzo, A., López-López, A., Arias-Estrada, M. O. Implementing hidden Markov models in a hardware architecture // Proc. Intl. Meeting of Computer Science ENC "01, Aguascalientes, México, September 15-19 2001. -Vol. II. -2001. -P. 1007-1016.

93. Anikeev, M., Makarevich, O. Parallel implementation of Baum-Welch algorithm // Proc. Workshop on Computer Science and Information Technologies (CSIT"2006), Karlsruhe, Germany, September 28-29, 2006. - Vol. 1. - Ufa: USATU, 2006. - P. 197-200.

94. Message Passing Interface Е-resource. - 2007. - Available: http://www-unix.mcs.anl.gov/mpi.

95. Argonne National Laboratory. Mathematics and computer science division. Е-resource. - 2007. - Available: http://www.mcs.anl.gov.

96. MPICH2 home page. Е-resource. - 2007. - Available: http://www-unix.mcs.anl.gov/mpi/mpich.

97. Ш.Гэри, M., Джонсон, Д. Вычислительные машины и труднорешаемые задачи. - М.: Мир, 1982. - 412 с.

98. ITU-TS Recommendation Z.120: Message-sequence chart (MSC), 04/2004. - Geneva: International Telecommunication Union, 2004. - 136 p.

99. Шпаковский, Г. И., Серикова, Н. В. Программирование для многопроцессорных систем в стандарте MPI. - Минск: БГУ, 2002. - 323 с.

Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.