Кибервойны программных агентов

……

……

КибервойныКибервойны программных агентов:программных агентов:КибервойныКибервойны программных агентов: программных агентов: применение теории командной применение теории командной р рр р

работы интеллектуальных агентов работы интеллектуальных агентов б йб йдля построения для построения киберармийкиберармий

И.В. Котенко

Санкт-Петербургский институт информатики и автоматизации РАН

Positive Hack Days 2012, Москва, 30-31 мая 2012 г.

автоматизации РАН

MMMMMM--ACNS ACNS 20120122 и и SA&PS4CS SA&PS4CS 20120122

Шестая Международная конференция "Математические методы, модели и архитектуры для защиты компьютерных сетей" (MMM-ACNS-2012) представление статей до 9 июня

Второй международный семинарр ду р д р"Научный анализ и поддержка политик безопасности в кибер-пространстве" (SA&PS4CS’12)

17-20 октября 2012 г., Санкт-Петербург, Россияhttp://comsec spb ru/mmm acns12/http://comsec.spb.ru/mmm-acns12/

http://www.comsec.spb.ru/saps4cs12/


План докладаПлан доклада

Введение Введение

Многоагентный подход к построению киберармий

Примеры реализаций агентов Примеры реализаций агентов

Особенности моделирования для задачзащиты информации

Подход к моделированию Подход к моделированию

Среда моделированияр р

Эксперименты

Positive Hack Days 2012, Москва, 30-31 мая 2012 г. Заключение

Важность и актуальность проблемыВажность и актуальность проблемы (1/(1/44))у ру р (( ))

• В настоящее время мы являемся свидетелями новой фазы противостояния (“гонки вооружений”) в Интернет между системами нападения и защитыВ б• Важными особенностями этого противостояния является• повышение уровня автоматизации, мощности, изощренности и

масштабности этих системмасштабности этих систем• использование концепции “постоянных изощренных угроз”

(“Изощренный” - обладание полным спектром методов разведки и компрометации. “Постоянный” - предпочтение некоторой определенной цели, постоянный мониторинг и взаимодействие с объектом атаки для достижения) и комплекснойобъектом атаки для достижения) и комплексной многоуровневой защиты;

• профессиональная разработка кибероружия и средств защиты, увеличение количества субъектов (включая отдельные группы злоумышленников, корпорации и страны), осуществляющих его разработку и совершенствование )


разработку и совершенствование.) • пример: Stuxnet -> Duqu -> Flame -> …

Важность и актуальность проблемыВажность и актуальность проблемы ((22//44))у ру р (( ))

К й й й• Ключевой чертой каждой из систем становится необходимость обеспечить

• согласованное функционирование (как единой команды) большого количества (гетерогенных) компонентов, организованных в сеть, различные узлы которой могут работать в различных операционных средах, использовать различные коммуникационные протоколы и т.п.


Централизованная и распределенная Централизованная и распределенная структуры ботструктуры бот--сетейсетей

Централи- Распреде-

ру урру ур

Централизованная

Распределеннаяузел “хозяин”

узел “командный центр”

узлы боты (“зомби”)

Цель Цель

узлы боты ( зомби”)

Цель атаки

Цель атакиузел “цель”


Internet Relay Chat (IRC)Internet Relay Chat (IRC)

Пример четырехуровневой Пример четырехуровневой структуры ботструктуры бот--сетейсетейру урру ур

Цель атакиАрхитектура сети “Storm Worm”


р ур

Пример топологии Пример топологии P2P P2P ботбот--сетисети



Кроме того, системы нападения и защиты в Интернет р , д щ рдолжны обладать способностью динамически изменятьсяпри изменении задачи, поведения противодействующей

фстороны, среды функционирования и т.п. Для реализации этих возможностей в перспективных системах нападения и защиты необходимо обеспечить механизмы интеллектуального поведения, и, в первую очередь эффективную координацию групповогоочередь, эффективную координацию группового поведения и адаптивность, в т.ч. способность формировать и изменять при необходимости какформировать и изменять при необходимости, как отдельными компонентами, так и всей системой в целом, свои текущие цели, функционировать без вмешательства у учеловека и осуществлять самоконтроль над своими действиями и внутренним состоянием



Наибольшими перспективами здесь обладают технологии, р д д ,основанные на распределенном принятии решений (они смещают основной объем вычислений по обработке данных на уровень отдельных компонентов),

(МАС) ( б концепции многоагентных систем (МАС) (она очень удобна для концептуализации и декомпозиции распределенных проблем)архитектуре ориентированной на сервис (в ней агенты могут архитектуре, ориентированной на сервис (в ней агенты могут кооперироваться при минимуме начальной информации о топологии сети, об агентах, присутствующих в ней, и о , , р у у щ ,доступных сервисах) ,

P2P-взаимодействиях (эта технология поддерживает реализацию свойства открытости, поскольку она не требует использования централизованного сервера для поддержки взаимодействия агентов)


взаимодействия агентов).

Метафора


Фрагмент представления множества команд агентов в сети Интернеткоманд агентов в сети Интернет

Среда

Защищаемая сетьЗащищаемая сеть

- Команда агентов-злоумышленников

- Команда агентов защиты…злоумышленников …

- Взаимодействиеагентов-злоумышленников - Взаимодействие агентов

за


узащиты

- Маршрут атаки

Цель и задачи работыЦель и задачи работы

Цель работы: исследование возможности применения предлагаемого агентно-ориентированного подхода к построению команд интеллектуальных агентов, реализующих атаки и механизмы защиты в Интернереализующих атаки и механизмы защиты в Интерне (на примере различных атак, в том числе DDoS, и защиты от бот-сетей).

Эволюционный подход к разработке подхода Наибольший акцент делается на исследовании ц д д

кооперативных и адаптивных сценариевпротиводействия команд агентов атаки и защиты

Теоретические задачи: исследование новых Теоретические задачи: исследование новых механизмов реализации атак и защиты

Прикладные задачи: оценка безопасности р д д цсуществующих сетей, рекомендации по построению перспективных систем защиты


Основные работы, используемые Основные работы, используемые в качестве базиса для исследований (1в качестве базиса для исследований (1/2/2))в качестве базиса для исследований (1в качестве базиса для исследований (1/2/2))

Теория коллективного поведения и группового управления:John von Neumann M Mesarovic М Л Цейтлин В И Варшавский Д АJohn von Neumann, M. Mesarovic, М.Л. Цейтлин, В.И. Варшавский, Д.А.Поспелов, В.Городецкий и др.

Многоагентные системы: N.Jennings, M.Wooldridge, В.И.ГородецкийМногоагентные системы: N.Jennings, M.Wooldridge, В.И.Городецкийи др. Командная работа агентов: P.Cohen (общие намерения), B.Grosz,

S.Kraus (разделяемые планы); M.Tambe (комбинированные подходы) и др.

Системы вывода основанные на предсказании намерений и Системы вывода, основанные на предсказании намерений и планов оппонента: E.Charniak (формулировка задачи распознавания как задачи абдуктивного вывода); H.Kautz, J.Allen (распознавание плана на основе идентификации минимального множества высокоуровневых действий, которые достаточны для объяснения наблюдаемых действий) и дрнаблюдаемых действий) и др.

рефлексивные процессы: В.А.Лефевр, В.Е.Лепский и др. Теоретико-игровое моделирование: J.Nash, G.Zlotkin ,


р р д р , ,J.Rosenschtein, T.Sandholm, Ю.Б. Гермейер, А.И.Кондратьев и др.

Основные подходы, используемые Основные подходы, используемые в качестве базиса для исследованийв качестве базиса для исследований (2/2)(2/2)в качестве базиса для исследованийв качестве базиса для исследований (2/2)(2/2)

• Системы кооперативных распределенных грамматик и грамматические модели агентских систем: M ter Beek J Gasoграмматические модели агентских систем: M.ter Beek, J.Gaso, J.Kelemen, J.Dassow и др.

• Моделирование атак на компьютерные сети:[Ritchey et al-00,Моделирование атак на компьютерные сети:[Ritchey et al 00, Swiler et al-01, Ortalo et al-01, Sheyner et al-02 и др.

• Моделирование процессов защиты информации, в т.ч. моделей аутентификации и разграничения доступа, виртуальных частных сетей, инфраструктуры открытых ключей, обнаружения вторжений и дрвторжений и др.

• Адаптивные системы: Я.З.Цыпкин, В.И.Скурихин и др.• Обнаружение данных и знаний (data mining)• Слияние данных и информации (data and information fusion),• Биологические подходы к защите информации, в том числе

ф “ ”иммунные системы, метафора “нервная система сети” и др.• и др.

(междисциплинарный характер исследований)


(междисциплинарный характер исследований)





Особенности моделирования для задачзащиты информации





Интеллектуальные агентыИнтеллектуальные агенты

Интеллектуальные программные агентыИнтеллектуальные программные агенты – программные у р ру р р р ркомпоненты, которые могут выполнять специфические задачи, поставленные пользователем, и обеспечивать такую степень интеллекта, которая позволяет выполнять эти задачи автономно, адаптируясь к среде и взаимодействуя со средой и другими агентами рациональным способом.

… ……

……


Модель агента в МАСМодель агента в МАСдд

Модель агента в МАС предполагает, чтоМодель агента в МАС предполагает, что агенты существуют в общей внешней среде, где имеютсяразличные ограничения на функционированиеразличные ограничения на функционирование

агенты имеют ограниченные общие ресурсы агенты существуют и принимают решения в условиях агенты существуют и принимают решения в условиях неопределенности, когда каждый агент обладает ограниченной информацией что влечет необходимостьограниченной информацией, что влечет необходимость информационного обмена между ними

агенты обладают ограниченной компетенцией и агенты обладают ограниченной компетенцией и возможностями, что может быть восполнено путем привлечения знаний и функциональных возможностей р фу цдругих агентов

агенты должны синхронизировать свои действия при


д р р д ррешении общей задачи

Сетевые программные агентыСетевые программные агенты

Агенты - “легкие” интеллектуальные автономные программы, у р р ,реализующие функции атаки или защиты.

Агенты являются мобильными или распределены по хостам сетиАгенты являются мобильными или распределены по хостам сети, специализированы по типам решаемых задач и взаимодействуют друг с другом с целью обмена информацией и принятия согласованных решений.

В явном виде отсутствует “центр управления” – в зависимости от у у усложившейся ситуации ведущим может становиться любой из агентов, специализирующихся на задачах управления командой агентов.

В случае необходимости агенты могут клонироваться и ф Апрекращать свое функционирование. Агенты могут адаптироваться

к реконфигурации сети, изменению трафика и новым видам атак, используя накопленный опыт


используя накопленный опыт.

Общие принципы координации Общие принципы координации поведения в МАСповедения в МАСповедения в МАСповедения в МАС

• В основе большинства известных методов координации МАС " б "лежит понятие "совместных обязательств"

(commitments) агентов, которое постулирует необходимость выполнения агентом последовательности действий ведущейвыполнения агентом последовательности действий, ведущей к достижению предопределенной цели в интересах сообщества агентовсообщества агентов.

• Знания об обязательствах других агентов позволяют агенту учесть при планировании поведения "общественныйучесть при планировании поведения общественный контекст" и ограничения, которые он должен принимать во внимание. Одна из форм обязательств агента - его роль.д ф р р

• Другое важное понятие - это общественные "соглашения" (conventions). Оно фиксирует условия, при которых обязательства выполняются, и обстоятельства, когда агент может или должен отказываться от исполнения взятых на б б


себя обязательств.

Подходы к координации Подходы к координации группового поведения агентов (1/3)группового поведения агентов (1/3)группового поведения агентов (1/3)группового поведения агентов (1/3)

1. Координация с помощью удовлетворения общих правилгруппового поведения (social rules)группового поведения (social rules). • Обычно такой подход используется в системах с заданной

организационной структурой в которой правила групповогоорганизационной структурой, в которой правила группового поведения должны строго выполняться.

• Биологический прототип такого варианта координации -Биологический прототип такого варианта координации пчелиный рой или сообщества муравьев, термитов и т.п. (“Звездный десант”)

• В таких сообществах каждый агент является простейшим автоматом. Однако множество правил группового поведения фформирует систему, которая проявляет высокоорганизованное поведение.

• Координация в этом случае содержит два вида деятельности:• Координация в этом случае содержит два вида деятельности: 1) поддержание организационной структуры сообщества2) использование правил группового поведения для


2) использование правил группового поведения для определения конкретных действий агента.

Подходы к координации Подходы к координации группового поведения агентов (2/3)группового поведения агентов (2/3)группового поведения агентов (2/3)группового поведения агентов (2/3)

2. Координация поведения на основе обмена мета –ф йинформацией.

• Она касается, например, согласования обязательств и правил разрешения конфликтовправил разрешения конфликтов

• Примеры: методы распределенного планирования [L Gasser-92] методы "Частичного глобального[L.Gasser-92], методы Частичного глобального планирования" ("Partial Global Planning" [Е.Durfee-88]

• Агенты информируют друг друга о своих локальных планахАгенты информируют друг друга о своих локальных планах и ведут переговоры для согласования своих обязательств

• Существует большое разнообразие конкретных ущ у р р рреализаций этого подхода.

• Пример: Задача о восьми ферзях


Подходы к координации Подходы к координации группового поведения агентов (группового поведения агентов (33//33))группового поведения агентов (группового поведения агентов (33//33))

3. Командная работа. П д д д б й• Про агентов, которые сотрудничают для достижения общей долговременной цели, функционируют в динамической внешней среде в присутствии шума и противодействия совнешней среде в присутствии шума и противодействия со стороны соперника принято говорить, что они образуют команду агентов (пример: трафик <-> эскорт президента)команду агентов (пример: трафик <-> эскорт президента).

• Наличие соперничающей команды или "враждебной" внешней среды является одной из специфическихвнешней среды является одной из специфических особенностей, которая отличает командную работу от обычной кооперации агентов в МАС. р ц

• Здесь каждый агент имеет ограниченную информацию о собственной команде, о внешней среде и о сопернике и реализует собственные намерения с помощью индивидуальных действий, исполняемых параллельно или

й


последовательно с действиями других агентов.

Роботы, принимающие участие в Роботы, принимающие участие в соревнованияхсоревнованиях RoboCupRoboCupсоревнованиях соревнованиях RoboCupRoboCup


Подходы и системыПодходы и системы,, реализующие реализующие командную работукомандную работукомандную работукомандную работу

Классические подходы: Теория общих намерений [Cohen 1991] Теория общих планов [Grosz 1996]К б й St [T b 1997] Комбинированный подход, система Steam [Tambe 1997]

Системы многоагентного моделированияGRATE*: общая ответственность [Jennings 1995] GRATE*: общая ответственность [Jennings 1995]

OAA: доска объявлений [Martin 1999]CAST: общая ментальная модель [Yen 2003] CAST: общая ментальная модель [Yen 2003]

RETSINA-MAS: комбинации всевозможных ролей агентов [Giampapa 2002][Giampapa 2002]

Robocup soccer: ориентация на собственную модель мира[Stankevich 1999]

COGNET/BATON: взаимодействие людей и агентов[Zachary 1996]


Team-Soar: «многоуровневая теория» [Kang 2001]

Теория общих намерений

Говорят, что агент имеет слабую конечную цель p относительно условий q, если выполняется любое из нижеследующих условий:если выполняется любое из нижеследующих условий:1. Агент сохраняет стандартную цель p, которую он стремится достичь, т.е. у агента нет убеждения, что цель достигнута, и значит, он полагает, что цель p продолжает оставаться долговременной целью;оставаться долговременной целью;2. Агент убежден, что цель (1) или достигнута (утверждение p истинно), (2) или никогда не будет достигнута, (3) или нерелевантная (утверждение q ложно), и при

б ф этом его текущая подцель состоит в том, чтобы сделать информацию о статусе цели общим убеждением членов команды.Команда агентов имеет общую долговременную цель достигнуть p при Команда агентов имеет общую долговременную цель достигнуть p при условии q в том случае, если выполнены все нижеследующие условия:1. Все члены команды убеждены, что выражение p в текущем состоянии ложно (т.е. долговременная цель не достигнута)долговременная цель не достигнута).2. Все члены команды знают, что все они хотят сделать выражение p истинным (т.е. достигнуть цели).3. Справедливо, и все члены команды это знают, что до тех пор, пока все они не придут к общему убеждению, что (1) или выражение p истинно, (2) или p никогда не будет истинным, (3) или что q ложно (цель нерелевантная), они будут убеждены, что

Positive Hack Days 2012, Москва, 30-31 мая 2012 г.КИИ 2004, 28 сентября-2 октября, Тверь

будет истинным, (3) или что q ложно (цель нерелевантная), они будут убеждены, что p является слабой долговременной целью в условиях q для всех членов команды.

Комбинированный подходКомбинированный подход

• Структура команды агентов описывается в терминах иерархии йгрупповых и индивидуальных ролей в различных сценариях

действий. • Листья иерархии отвечают ролям индивидуальных агентов• Листья иерархии отвечают ролям индивидуальных агентов, промежуточные узлы групповым ролям. • Спецификация иерархии планов действий осуществляется дляСпецификация иерархии планов действий осуществляется для каждой из ролей. Для каждого плана описываются: (1) начальные условия, когда план предлагается для исполнения; (2) условия, при которых план прекращает исполняться; (3) действия, выполняемые на уровне команды, как часть общего планаплана. • Спецификация иерархии планов действий осуществляется в виде иерархии действий описываемых на различных уровняхиерархии действий, описываемых на различных уровнях. • Назначение ролей и распределение планов между агентами выполняется в два этапа: (1) сначала план распределяется в


ол е с д а э а а ( ) с а ала ла рас редел е стерминах ролей, (2) каждой из ролей ставится в соответствие агент.

Методы построения МАС и оптимизации командной работыкомандной работы

BDI-модели (Belief-desire-intention), определяемые схемами д ( ), р дфункционирования агентов, обуславливаемыми зависимостями предметной области

й й методы распределенной оптимизации на основе ограничений (Distributed constraint optimization, DCOP) , использующие локальные взаимодействия при поиске локального или глобальноголокальные взаимодействия при поиске локального или глобального оптимума

методы распределенного принятия решений на основе частично-наблюдаемых Марковских сетей (Distributed Partially Observable Markov Decision Problems, POMDPs) , позволяющих реализовать координацию командной работы при наличии неопределенности вкоординацию командной работы при наличии неопределенности в действиях и наблюдениях

теоретико-игровые модели и модели аукциона, фокусирующиеся на еоре о ро е одел одел ау ц о а, фо ус рующ ес акоординации среди различных команд агентов, использующих рыночные механизмы принятия решений


Работы в области адаптации Работы в области адаптации (1/(1/33))

Адаптация и обучение в автоматических системах[Я З Ц 1968][Я.З.Цыпкин, 1968]

Системы адаптивного управления производством[В И Скурихин 1984][В.И.Скурихин, 1984]

Рефлексивные процессы (В.А.Лефевр, В.Е.Лепский, Д.А.Поспелов и др.)Д др )

Динамические интеллектуальные системы [Д.А.Поспелов, Г.С.Осипов, В.Л.Стефанюк и др.]

(б ) Адаптивное поведение (биологическая метафора) [Редько В.Г. и др.]

Типовая модель для динамической адаптации в Типовая модель для динамической адаптации в реальном времени [Silva et al.,00]

Базовые принципы автономных вычислений Базовые принципы автономных вычислений(самовосстановление, самоконфигурирование, самооптимизация и самозащита) [Kephart et al.,03], [Wantet al 03]


et al.,03]

Работы в области адаптации Работы в области адаптации ((22//33))

Саморегенеративные системы [Atighetchi et al.,04] Подход, основанный на использовании промежуточного программного обеспечения [Atighetchi et al.,03], [Zou et l 06]al.,06]

Архитектура Willow [Knight et al.,02]: (1) обход й (неисправностей (на основе отключения уязвимых

элементов сети), (2) устранение неисправностей (посредством замены программных элементов системы) и(посредством замены программных элементов системы) и (3) устойчивость к неисправностям (на базе реконфигурации системы) р ф ур ц )

Самоуправляемая координационная архитектура [Chenget al.,04]]

Подход к инкрементальной адаптации, основанный на использовании внешних механизмов [Combs et al.,02],


[Dashofy et al.,02], [Gross et al.,01], [Oreizy et al.,99]

CCаморегенеративныеаморегенеративные системысистемы

Обеспечить 100% критических функций в течение всего времени функционирования в условиях реализации атак.

Обнаруживать собственные уязвимости для повышения живучести в процессе функционирования

Теоретическая

процессе функционирования. Восстанавливать сервисы после атаки.

Способность обеспечения

Теоретическая производительность

сервисовСамо-регенеративная Устойчивая к

Т

Первоначальная функциональность

система(выполняет реконфигурацию и

)

вторжению система(постепенно

)

Традиционная система(терпит крах)

самооптимизацию)деградирует)100%-ая критическая функциональность


Время(атака или ошибка)Источник: Lee Badger

Работы в области адаптации Работы в области адаптации ((33//33))

Искусственные иммунные системы [Ishida et al.,04]. у у [ ]Множество различных приложений в области компьютерной безопасности [Negoita et al.,05]. Реализация адаптивного подхода к защите от атак Реализация адаптивного подхода к защите от атак DDoS: способность динамического изменения поведения для способность динамического изменения поведения для поддержки работы сетевых сервисов во время атаки [Piszcz et al.,01]

S ( система Saber (комплексирование различных механизмов: обнаружение вторжений, автоматическая установка заплат миграция процессов и фильтрацияустановка заплат, миграция процессов и фильтрация атак ) [Keromytis et al.,03]

гранулярно-адаптивное обнаружение атак [Gamer et у уal.,06]

принцип адаптивной защиты на основе минимизации “стоимости” защиты [Zou et al 06]


минимизации стоимости” защиты [Zou et al.,06]




Примеры реализаций агентов Примеры реализаций агентов Особенности моделирования для задачзащиты информации





Общая архитектура Общая архитектура агентаагента

Входноесообщение

Выходное сообщение

Окружающая среда

Получатель входных

сообщений

Восприятие окружающей

средыОтправитель исходящих сообщений БДщ

Мета-автомат

А 1Буфер

База знанийБД

Буфер

Процессор входного трафика Автомат 1

уф р

входных

сообщенийАвтомат N

Автомат с ….

Интерфейс

Буфер

исходящих

сообщений

трафика

Автомат Nсамостоятельно активизируемым поведением

с пользо-вателем

щ

[Пользователь]АгентБаза данных диалогов агента


[Пользователь]

Реализация агентов атакиРеализация агентов атаки

Предложенный подход к реализации р д д д р ц1. Моделирование атаки базируется на задании цели атакицели атаки.2 Многоуровневое описание атаки представляется в виде: сценарийсценарий2. Многоуровневое описание атаки представляется в виде: сценарийсценарий

простые атакипростые атаки трафиктрафик.3. Разработка моделей распределенных атак основана на задании 3. Разработка моделей распределенных атак основана на задании

онтологии предметной областионтологии предметной области.4. Формальное описание сценариев и простых атак выполнено на базе р ц р р

семейства стохастических атрибутных грамматиксемейства стохастических атрибутных грамматик.5. Для структурирования многоуровневого описания распределенных Д ру ур р ур р р д

атак используются операции подстановки грамматикоперации подстановки грамматик.6. Программная реализация имитатора атак выполнена на основе

автоматной интерпретации грамматик.7. Генерация действий (атак) злоумышленника в зависимости от реакции


атакуемой сети происходит в реальном масштабе времени.

Фрагмент онтологии атакФрагмент онтологии атак макромакро--уровняуровняСетевая атака

AРазведка

RRОпределение служб хоста

Определение

IS

IO UEОпределение приложений и заголовков

ABE

Сбор дополнительной информации

Внедрение и реализация угрозы

IОпределение

рОС хоста

Определение разделяемых ресурсов

Определение пользователей и группIH

CI RE

UE

Создание “потайных

CBDОпределение функционирующих хостов разделяемых ресурсов

Сокрытие следов

Получение доступа к ресурсам

GAR

ER GADTR

CT“потайных ходов”

Диапазонная проверка по ping

DC Сканирование портов

SPIH

STPPS

Расширение привилегий

Реализация угрозы

ресурсам TR Сбор дополнительной информацииTCP connect -

сканирование

ST

TCP SYN

Понятия микро-уровня

Proxy-сканирование

Dumb host -сканирование

DHS

TCP SYN -сканированиеSS

ур

TCP FIN -SF

SX


FTP Bounce - сканированиеSFB

SN

CD ID DOS

Нарушение конфиденциальностиНарушение целостности

“Отказ в обслуживании”


TCP Xmas Tree -сканирование

SXTCP Null -сканирование

Half -сканированиеHS

UDP -сканирование

SU – Отношение “Часть …"

– Отношение "Класс "


сканированиеП о н я т и я б о л е е н и з к и х у р о в н е йОтношение Класс…

– Отношение "Последовательность…"

Задание цели атакиЗадание цели атаки

Цель атаки:<Адрес сети (хоста) Намерение злоумышленника Известные параметры сети<Адрес сети (хоста), Намерение злоумышленника, Известные параметры сети

(хоста), Объект атаки>.Адрес сети (хоста):р ( )

Примеры: 244.146.4.0, 198.24.15.0, 210.122.25.0; 244.146.4.1, 244.146.4.12 .Известные параметры сети (хоста):

f OS 2000 SПримеры: Type of OS = ‘Windows 2000 Server’, User ID = ‘Admin’.Намерения злоумышленника:

IH IS IO RE UE ABE; GAR EP GAD CD ID DOS CT CBD IH, IS, IO, RE, UE, ABE; GAR, EP, GAD, CD, ID, DOS, CT, CBD .Объект атаки:

1) для атак CD или ID: 1) для атак CD или ID: [Аккаунт,] [Процесс {<Имя процесса >/<Маска процесса>},] [Файл {<имя файла>/<маска файла>},][Передаваемые данные {<имя файла (данных)>/<маска файла (данных)>}],

2) для всех атак: All (Все) все ресурсы сети (хоста)


2) для всех атак: All (Все) – все ресурсы сети (хоста), Anyone (Любой) – хотя бы один из ресурсов.

Задание атак в виде формальных грамматикЗадание атак в виде формальных грамматик

Математическая модель атак:MA = <{ Gi } , { Su }> ,где {G} – формальные грамматики, {Su} – операции подстановки.

Последовательности символов (“слов”) генерируемые каждой из грамматик Последовательности символов ( слов ), генерируемые каждой из грамматик, соответствуют последовательностям действий злоумышленника.

Каждая грамматика Gi является в общем случае атрибутной стохастической грамматикой:Gi = <VN , VT , S, P, A > ,где G – имя грамматики; V – множество нетерминальных символов; V – множество где Gi – имя грамматики; VN – множество нетерминальных символов; VT – множество терминальных символов; S VN – аксиома грамматики;

P – множество подстановок вида ( ) ( )(U) X (Prob), где X VN, (VT VN)*, U – условие подстановки, Prob – вероятность выбора;

A – множество атрибутов и алгоритмов их вычисления. р у рОперация подстановки Su(a) для грамматики G(a) имеет следующий вид:Su(a): {a G(a)} Э


Эта операция соответствует детализации описания сценария атак.

Автоматная интерпретация атакАвтоматная интерпретация атак

Семейство взаимосвязанных автоматов задает алгоритм генерации атак, описанных в терминах формальных грамматик формальных грамматик. Основные элементы автомата:

(1) начальное, промежуточные и конечное состояния;(2) переходы из всех состояний за исключением состояния “End”(2) переходы из всех состояний за исключением состояния End .

Типы промежуточных состояний:(1) нетерминальные (инициализирующие работу вложенных автоматов);(2) ( й й й(2) терминальные (взаимодействующие с моделью атакуемой сети – конкретные действия

злоумышленника).Переходы являются аналогами грамматических правил подстановки.Атрибуты состояний:

(1) Rule – номер правила перехода;(2) P – вероятность выбора альтернативного перехода (из одного состояния);(2) P вероятность выбора альтернативного перехода (из одного состояния);(3) K – коэффициент нормализации вероятностей (для рекурсивных правил K<1, для остальных

правил, как правило, K=1);(4) State – состояние достигаемое при выполнении правила перехода;(4) State – состояние, достигаемое при выполнении правила перехода;(5) Attributes – дополнительные атрибуты (информация о хосте или целой сети), передаваемые

при переходе в новое состояние;(6) A ti й б б


(6) Actions – действия, которые необходимо выполнить после перехода в состояние, выбранноеиз таблицы переходов.

Диаграмма взаимодействия автоматовДиаграмма взаимодействия автоматов

A

R IR IP P

IH IO RE UE ABE

CI

IS GAR EP GAD TR CT CBDP

P

P

P

P

P P P

P

P P P

P

P P P

P P

P

P P

SPIH SPIS IAUS RCEENS DCSR IBSD PSA CSS CVRAVR IVR

EP_MSG GAD_MSG

UFPS RRM EKV ACE DS

IH_MSG ABE_MSGUE_MSGRE_MSGCI_MSG ENS_MSGSPIS_MSG IO_MSG CT_MSG CBD_MSGIVR_MSGCVR_MSGGAR_MSG


Пример автомата Пример автомата R (“R (“РазведкаРазведка”)”)R

0) (1-12)

IH

1) R -> IH R1 (1)2) R -> IH R2 (7-12)

IR1

10) R1-> IH R1 (1) 3) R-> IS R1 (2) IR1 промежуточное состояниеIH

IS

10) R1 > IH R1 (1)

5) R-> IO R1 (3)6) R-> IO R4 (7-12)

12) R2-> IO R4 (7-12) 14) R1-> IS R1 (2)

4) R-> IS R3 (7-12)

11) R2-> IS R3 (7-12)

IR1 – промежуточное состояниеIH – Определение функционирующих

IO

7) R -> RE R1 (4)

17) R1 -> IO R1 (3)

9) R ABE R1 (6)

15) R3-> IO R4 (7-12)

8) R -> UE R1 (5)

18) R4 CI R5 (7 12)

хостов IS – Определение служб хостаIO – Определение ОС хоста

CI

20) R5 -> RE R6 (7-12)

9) R -> ABE R1 (6) 18) R4-> CI R5 (7-12)р

CI – Сбор дополнительной информации

RE – Определение разделяемых RE21) R1-> RE R1 (4)

16) R1 -> End (2)

13) R1 -> End (1)

22) R6-> UE R7 (7-12)

RE Определение разделяемых ресурсов

UE – Определение групп и пользователейUE

ABE

24) R1-> UE R1 (5)

27) R1-> ABE R1 (6)

23) R1 -> End (4)

19) R1 -> End (3)

25) R7-> ABE R8 (7-12)

26) R1 -> End (5)

пользователейABE – Определение приложений и

заголовков

Positive Hack Days 2012, Москва, 30-31 мая 2012 г.End

) ( )

28) R1 -> End (6)29) R8-> End (7-12)

Интерфейс пользователя Интерфейс пользователя для задания задачи атакидля задания задачи атакидля задания задачи атакидля задания задачи атаки

Основные элементы спецификации атаки:1) Намерение злоумышленника

(1-12);(1-12);2) Адрес атакуемого хоста илисети;

3) Имеющаяся информация обатакуемом хосте;

4) Объект атаки (имя файла4) Объект атаки (имя файла,идентификатор пользователя,ресурс и др.);


Окно визуального представления развития атаки Окно визуального представления развития атаки на макрона макро--уровнеуровнена макрона макро уровнеуровне

Спецификация задачи ц ф ц датаки

Дерево генерации атаки

Действия Дзлоумышленника

Признак успеха (неуспеха) и данные, полученные от атакованного хоста ( )


(реакция хоста)

Обобщенная архитектура Обобщенная архитектура системы обнаружения системы обнаружения вторжение (МСОВ)вторжение (МСОВ)вторжение (МСОВ)вторжение (МСОВ)

Интерфейс пользователя

Х TХ S

Интерфейс пользователя

Хост TХост S1Входнойтрафиктрафик

…Сообщение

Компоненты МСОВ Компоненты МСОВщ

СообщениеСообщениеСообщениеСообщение…

Х F

Компоненты МСОВ

Х S



Хост FХост S2

Архитектура компонентов МСОВ на хостеАрхитектура компонентов МСОВ на хосте


АIAОт агентов хоста

12

6

1. 2. 3.

Архив б й

ACAAD-E IDA1

13

6

AD–P1событий,

зафиксированных на хостеIDA2

4

5

7

Timer AD–P2

Хост S

IDA25

Хост S1

Хост F Хост T Хост S2Интерфейс Интерфейс пользователяпользователя


1., 2., 3. – уровни обработки; 1, 2, …, 7 – типы агентов.

Функции базовых агентов МСОВФункции базовых агентов МСОВуу

ADAD--EE ((ADAD--Events)Events) — предварительная обработка сообщенийи фиксация значимых событий. AIAAIA,, ACAACA — идентификация источников сообщений иAIAAIA,, ACAACA идентификация источников сообщений иподтверждение их подлинности, регламентация доступак ресурсам обнаружение и прерывание несанкционированныхк ресурсам, обнаружение и прерывание несанкционированныхдействий. ADAD PP11 ADAD PP2 2 (AD(AD Patterns)Patterns) обнаружение паттернов ADAD--PP11,, ADAD--PP2 2 (AD(AD--Patterns)Patterns) — обнаружение паттернов

“подозрительных” событий или очевидных атак (например,fi b ff fl t i fl d) finger, buffer overflow; port scanning, syn-flood) и реагированиена данные события. IDAIDA11,, IDAIDA22 — высокоуровневая обработка и обобщениеобнаруженных событий (spoofing–атаки, распределенные

Positive Hack Days 2012, Москва, 30-31 мая 2012 г.многофазные атаки), прогнозирование последующих событий.

Визуализация обмена сообщениями Визуализация обмена сообщениями между агентамимежду агентамидуду

(в процессе обработки атаки Port ScanningPort Scanning)

Msg 41

Msg 42Msg 42

Msg 43


Содержание сообщений в полной (на XMLXML) и сокращенной форме (агенты ADAD--EE, ADAD--P2P2и IDA2IDA2 хоста S1 взаимодействуют посредством обмена сообщениями ## 41–43)





Особенности моделирования для задач защиты информации





Общие этапы моделирования для решения Общие этапы моделирования для решения задач защиты информациизадач защиты информациизадач защиты информациизадач защиты информации

Построение модели защищаемой системыПос рое е о е ро а ( ар е ) Построение модели противника (нарушителя)

Определение свойств компонентов защиты Моделирование и анализ выполнения этих свойств при реализации атак противника (нарушителя)

Проверка результата моделированияр р р у д р При данных допущениях о системе реализация атак не приведет к нарушению заданных свойстватак не приведет к нарушению заданных свойств

Не существует “абсолютной” защищенности


Метод явного учета нарушителяМетод явного учета нарушителяу руу ру

Описание

Модель нарушителя

Формальная спецификация

системы защиты

Формальный анализ / моделирование

Определение ошибки,

/ моделированиемодификация системы


Фундаментальный компромисс между Фундаментальный компромисс между сложностью модели и ее адекватностьюсложностью модели и ее адекватностьюсложностью модели и ее адекватностьюсложностью модели и ее адекватностью

Модели абстрактны и сильно упрощены Модели абстрактны и сильно упрощены Отдельные компоненты моделирования представляются, как правило как конечные автоматыкак правило, как конечные автоматы

Функции защиты, как правило, специфицируются как абстрактные типы данныхр

Свойства защиты формулируются, как правило, как недостижимость “плохого” состояния

Существует множество методов анализа свойств, многие из них автоматизированы …, но не являются полностью достовернымидостоверными

Доказательства в модели выполняются на основе ряда упрощающих допущений, которые игнорируют некоторые у р щ щ д ущ , р р ру рвозможности нарушителя

Атака в формальной или имитационной модели “влечет”


реальную атаку

Области использования моделирования Области использования моделирования для задач защиты информациидля задач защиты информациидля задач защиты информациидля задач защиты информации

Анализ влияния (Impact assessment) для определения, каким образом механизмы защиты воздействуют на защищаемую систему иобразом механизмы защиты воздействуют на защищаемую систему и ее целевые свойства (безопасность, производительность, надежность и др.) [D.Nicol, S.Smith, M.Zhao-04 ; S.Kent, C.Lynn, K.Seo-д др ) [ , , ; , y ,00 (Secure BGP); M.Zhao, S.Smith, D.Nicol-05; etc.]

Эмуляция, при которой реальные и виртуальные компоненты у ц , р р р р у(“миры”) комбинируются для изучения взаимодействия между системами защиты и нарушителем и выявления уязвимостей системы защиты [G Bakos V Berk 02 (Worm activity by metering ICMP);системы защиты [G.Bakos, V.Berk-02 (Worm activity by metering ICMP); M. Liljenstam et al-03 (Simulating worm traffic); etc.]

Тренировки по реализации атак и сценарии обучения Тренировки по реализации атак и сценарии обучения[M. Liljenstam et al-05 (RINSE); B. Brown et al-03; etc.]

Анализ рисков базирующихся на известных уязвимостях и Анализ рисков, базирующихся на известных уязвимостях и параметрах конфигурации системы [R. Ortalo, Y.Deswarte, M.Kaaniche-99; Sheyner et al-02; V.Gorodetski, I.Kotenko-02 (Attack


; y ; , (Simulator); B.Madam, K.Goseva-Popstojanova-02; etc.]

Компоненты, используемые при Компоненты, используемые при моделировании сетевых процессов (1моделировании сетевых процессов (1/2/2))моделировании сетевых процессов (1моделировании сетевых процессов (1/2/2))

• Топология. Типовых топологий локальных сетей не существует. Можно строить модель, используя древовидную топологию или на основе конкретной сети. Для моделирования Интернет-топологий применяются случайные графы построенные на основеприменяются случайные графы, построенные на основе определенных функциональных зависимостей [Mahadevan et al., 05], [Mahadevan et al., 06]

• Каналы передачи данных. Традиционно используются такие параметры как пропускная способность канала и задержка распространения сигнала

• Протоколы. Для моделирования сетевых процессов необходимо моделирование большого числа протоколов Основными являютсямоделирование большого числа протоколов. Основными являются протоколы сетевого и транспортного уровней. В ряде имитаторов сети (на пакетном уровне) присутствуют модели различных протоколов (однако затруднительно проверить их достоверность). Точность моделирования протоколов заметно отличается. При этом необходимо моделировать протоколы с точностью до отдельных пакетов


моделировать протоколы с точностью до отдельных пакетов, заголовков и управляющих флагов

Компоненты, используемые при Компоненты, используемые при моделировании сетевых процессов (моделировании сетевых процессов (2/22/2))моделировании сетевых процессов (моделировании сетевых процессов (2/22/2))

• Приложения. Большинство приложений предлагается моделировать на уровне трафика, а отдельных, наиболее важных для исследования (модели вредоносных программ, исследуемых механизмов защиты) на уровне логики работымеханизмов защиты) - на уровне логики работы

• Трафик. Существует ряд подходов к генерации трафика:• генерация трафика приложений для имитации нагрузки каналагенерация трафика приложений для имитации нагрузки канала

связи• генерация трафика, используя моделирование на уровне р ц р ф у д р ур

источника• генерация трафика с использованием структурной модели• генерация трафика на основе данных о поведении узлов на

уровне их коммуникацийиспользование для генерации записей реального трафика• использование для генерации записей реального трафика

• Узлы. Узел определяется своим предназначением (роутер, свитч, хост и т д ) содержит определенный стек протоколов и отличается


хост и т.д.), содержит определенный стек протоколов и отличается набором установленных на нем приложений




Особенности моделирования для задач Особенности моделирования для задачзащиты информации

Подход к моделированию Среда моделирования Среда моделирования

Экспериментыр

Заключение


Основные положения подходаОсновные положения подхода ((1/1/22))

Кибернетическое противоборство представляется в виде р р р рвзаимодействия различных команд программных агентов

Процессы происходят в среде, задаваемой моделью ИнтернетаИнтернета

Выделяются команды агентов атаки, защиты и пользователейпользователей

Команды взаимодействуют между собой: противоборствуют, кооперируются, адаптируются

Команда агентов-злоумышленников эволюционирует посредством генерации новых экземпляров и типов атак, а также сценариев их реализации с целью преодоленияа также сценариев их реализации с целью преодоления подсистемы защиты

Команда агентов защиты адаптируется к действиямКоманда агентов защиты адаптируется к действиям злоумышленников путем изменения исполняемой политики безопасности, формирования новых экземпляров механизмов и профилей защиты


экземпляров механизмов и профилей защиты

Основные положения подходаОсновные положения подхода (2/(2/22))

Цель команды агентов-злоумышленниковсостоит в определении уязвимостей и реализации угроз информационной безопасности посредством выполнения распределенных скоординированных атак

Цель команды агентов защиты состоит в защите компьютерной сети и себя от атак

Команда-1Команда 1Команда-2

Агенты противоборствующих команд соперничают для достижения противоположныхдостижения противоположных намерений.

Агенты одной команды Цель Агенты одной командысотрудничают для достижения общего намерения

Цель атаки

Positive Hack Days 2012, Москва, 30-31 мая 2012 г.Команда-N

Процедуры поддержки командной работыПроцедуры поддержки командной работы

1 Про е р обес е е со асо а ос ейс й1. Процедуры обеспечения согласованности действий агентов в команде (группе, индивидуально) по некоторому общему планунекоторому общему плану

2. Процедуры мониторинга и восстановления ф ( д д )функциональности команды (группы, индивидуально)за счет переназначения “утерянных” ролей тем членам команды которые в состоянии выполнить эту работукоманды, которые в состоянии выполнить эту работу, или клонирования новых агентов

3 П б3. Процедуры обеспечения селективности коммуникаций основываются на расчете важности того или иного сообщения с учетом его “стоимости”или иного сообщения с учетом его “стоимости”, возможности компрометации и выгоды, получаемой при этом


этом

Модель взаимодействия командМодель взаимодействия команд агентов


Реализация сценариев (1/Реализация сценариев (1/33))

Для выполнения экспериментов были реализованы:Д р р сценарии функционирования бот-сети (включая сценарии распространения бот-сети, управления бот-сетью иреализации атак),

сценарии сдерживания бот-сети и противодействия атакам, й й сценарии легитимной деятельности вычислительной сети.

Сценарии распространения бот-сети: сценарии поиска новых узлов, пригодных к компрометации, их идентификации и последующей компрометации,

ф б подключения инфицированных узлов в бот-сеть. Сценарий распространения бот-сети, использованный в

экспериментах основывается на модели распространенияэкспериментах, основывается на модели распространения сетевого червя посредством эксплуатации уязвимости сетевых служб После активации “уязвимого” сервиса


сетевых служб. После активации уязвимого сервиса, компьютер считается зараженным.

Основные параметры сценариев Основные параметры сценариев распространенияраспространения (1/2)(1/2)распространенияраспространения (1/2)(1/2)

Транспортный протокол (Transport protocol): TCP, UDPр р р ( p p ) , Тип закрытия соединения (End of connection) (только для

TCP): Полное закрытие TCP-соединения Неполное закрытие TCP-соединения

Размер пакета (Packet size) Частота генерации пакетов (Scan speed) (число пакетов

(соединений) генерируемых в секунду)(соединений), генерируемых в секунду) Изменение скорости сканирования (Scan speed variation).

Скорость с которой червь производит сканирование можетСкорость, с которой червь производит сканирование может быть постоянной или изменяться (в том числе случайным образом)

Методика подмены сетевого адреса и порта (Address and port spoofing) Ч (N b f dd d)


Число используемых адресов (Number of addresses used)

Основные параметры сценариев Основные параметры сценариев распространенияраспространения (2/2)(2/2)

Тип сканирования (Scan type) (стратегия сканирования

распространенияраспространения (2/2)(2/2)

р ( yp ) ( р рили методика выбора адреса узла- получателя и порта): случайное сканирование (random-scanning) последовательное сканирование (sequential-

scanning)( titi i ) частичное сканирование (partition-scanning)

локальное сканирование или сканирование на основе предпочтения локальных адресов (localоснове предпочтения локальных адресов (local-preference-scanning)

сканирование по хит-листам, т.е. по заранее сканирование по хит листам, т.е. по заранее составленным спискам уязвимых узлов, которые содержат атакуемый сервис, необязательно

й йуязвимый, после этого черви выполняют случайное сканирование (hitlist-scanning)


…

Реализация сценариев (Реализация сценариев (22//33))


Реализация сценариев (Реализация сценариев (33//33))

Сценарий управления задается процедурой отправки р у р р ур рсообщения о статусе нового узла на сервер “командный центр” с последующим ожиданием поступления команд со стороны сервера.

Одним из примеров реализованных сценариев атаки д р р р ц рбот-сети является атака вида UDP Flood, проводимая по отношению к некоторому узлу, IP-адрес которого указан в составе команды начала атаки.

В настоящей работе реализовано несколько сценариев щ р р ц рсдерживания бот-сети и противодействия атакам: без кооперации; р с кооперацией типа DefCOM; с кооперацией типа COSSACK;


с полной кооперацией.

Команда атакиКоманда атаки

Демон AMCЦель атаки

Демон

Демон

AMCattack ,

Злоумышленникатаки DDoS…Мастер

Демон

Атака DDoS: глобальная цель достигается скоординированными

Демон

Атака DDoS: глобальная цель достигается скоординированными усилиями многих компонентов

“Демон (demon)” – исполнитель атаки В начале работы посылает «мастеру» свой адрес и порт

“Мастер (master)” – координатор атаки Составляет список работоспособных «демонов» Составляет список работоспособных «демонов» Получает команду атаки от злоумышленника Посылает работоспособным «демонам» команду атаки: IP


адрес и порт цели, интенсивность (пакетов в секунду)

Команда защитыКоманда защиты

Агент атакиФильтр Ограничитель ILFDSCdefense ,,,,

Защищаемый узел Сэмплер Детектор Агент

f

Агент “сэмплер (sampler)”• Сбор модельных данных для каждого узла по сетевым пакетам

расследования

р д д д д у• Выдача модельных данных на запрос «детектора»Агент “детектор (detector)”

Прием сообщения о работоспособности других агентов• Прием сообщения о работоспособности других агентов• Запрос данных от «сэмплеров»• Прием решения об атакер р• Посылка сообщения со списком подозрительных узлов «фильтру» и

агенту «расследования», директиву ограничивать трафикАгент фильтр (filter) прием данных от детектора и фильтрацияАгент «фильтр (filter)» – прием данных от «детектора» и фильтрацияАгент «ограничитель (limiter)» – ограничение трафика Агент «расследования (investigator)» – отслеживание источника


р д ( g )атаки и его обезвреживание

Исследования по механизмам защиты Исследования по механизмам защиты от распространенияот распространения

Разработаны различные механизмы, основанные на

от распространения от распространения

р р ,ограничении скорости (интенсивности) установления сетевых соединений (“Rate Limiting”).

Вильямсон [Williamson, 02-1] предлагает ограничивать число различных IP-соединений конечного узла. Ч [Ch t l 04 2] Ш [S h ht t l Чен и др. [Chen et al., 04-2] и Шехтер и др. [Schechter et al., 04] применяют ограничения к узлам, которые демонстрируют большое количество незавершенных илидемонстрируют большое количество незавершенных или неустановленных (failed) соединений.

Вонг и др. [Wong et al., 05] предлагают использовать др [ g , ] р дмеханизмы “Rate Limiting”, основанные на DNS-статистике.

… Обзор работ - Котенко И.В. Автоматическое обнаружение и

сдерживание распространения Интернет-червей: краткий анализ


сдерживание распространения Интернет червей: краткий анализ современных исследований // Защита информации. Инсайд, № 4, 2007. С.46-56.

Метрики для обнаружения ботМетрики для обнаружения бот--сетей (1сетей (1/3/3))

БотОтклик СинхронизацияБот Синхронизация

Master C&C Бот Объект атаки

ББот

Отношения

Возможная интерпретация: Отношение – количество активных клиентов в канале (IRC)( ) Отклик – время отклика клиентов на запрос Синхронизация – синхронизм трафика, посланного

Positive Hack Days 2012, Москва, 30-31 мая 2012 г.[Akiyama, etc., 2007]клиентами

Метрики для обнаружения ботМетрики для обнаружения бот--сетейсетей (2/3)(2/3)

ОткликОтклик


[Akiyama, etc., 2007]

Метрики для обнаружения ботМетрики для обнаружения бот--сетейсетей (3/3)(3/3)

Синхронизированный трафикСинхронизированный трафик

IRCIRC--трафик боттрафик бот--сетисетир фр ф

IRCIRC--трафик обычных трафик обычных ййпользователейпользователей

Positive Hack Days 2012, Москва, 30-31 мая 2012 г.[Akiyama, etc., 2007]

Примеры методов обнаружения Примеры методов обнаружения вредоносного трафикавредоносного трафикавредоносного трафикавредоносного трафика

Hop counts Filtering (HCF): заключается в формировании таблиц p g ( ) ф р р цподсетей и количества скачков до них. Предполагается, что пакеты из одной и той же сети проходят от отправителя до получателя одинаковое количество хопов (скачков). Вначале составляется д ( )таблица, в которой узлы группируются по количеству хопов. При обнаружении атаки система, реализующая HCF, вычисляет количество хопов пришедшего пакета и сравнивает его с табличным значением.

Source IP address monitoring (SIPM): используется предположение, что во время атаки появляется большое количество новых адресов р дрклиентов. Вначале производится формирование базы IP-адресов “легитимных” клиентов. В реальном времени система собирает статистику по пакетам – количество новых для системы IP-адресов за

Езаданные отрезки времени. Если эта величина остается в пределах нормы, то новые адреса заносятся в базу, если нет – осуществляется фильтрация.

Bit Per Second (BPS): позволяет обнаружить атакующих по превышению порога нормального трафика. Вначале определяется «допустимый» порог для трафика на основе запросов легитимных


клиентов.

Кооперативные механизмы защитыКооперативные механизмы защиты

Модели кооперативного взаимодействия: Модели кооперативного взаимодействия: DefCOM [J.Mirkovic, etc., 2005]: “Alert generator”, “Rate limiter”,

“Classifier”Classifier COSSACK [C.Papadopoulos, 2003]: “snort”, “watchdog”, filterПредложенные:Предложенные: без кооперации;кооперация на кооперация на

уровне фильтров; кооперация науровне сэмплеров; слабая кооперация; полная кооперация.


Кооперативные механизмы защитыКооперативные механизмы защиты: DefCOM: DefCOM

“Alert generator” –обнаруживает атаку и сообщает о нейAlert generator сообщает о ней остальным узлам сети

“Rate limiter” –

e ge e a o

Rate limiterограничивает объем трафика, направляемого на цель Classifier р цатаки

“Classifier” –обеспечивает

Classifier

обеспечивает выборочное ограничение объема

ф Отрафика. Он пытается определить и отбросить пакеты атаки

Cooperation


Cooperation

Кооперативные механизмы защитыКооперативные механизмы защиты: : COSSACKCOSSACKCOSSACKCOSSACK

IDS (“snort”) составляет статистику по количеству переданных пакетов для различных

Watchdog

IDS (S t) пакетов для различных потоков трафика; потоки группируются по префиксам адреса.

WatchdogIDS (Snort)

р ф дрЕсли для какого-то потока происходит превышение заданного порога то его

Filter (Router)

Watchdogпорога, то его сигнатура передается к “watchdog”

“watchdog”

Filter (Router)

Filt

( )

watchdog(“сторожевой пес”) –получает данные по трафику от агента “ t”

Filter (Router)

“snort” и применяет правила фильтрации на маршрутизаторах

Cooperation


Cooperation

Кооперативные механизмы защитыКооперативные механизмы защиты: : полная кооперацияполная кооперацияполная кооперацияполная кооперация

команда, на д ,сеть которой направлена атака, может Team №2

Team №1 получать информацию о трафике от

Team №1

всех сэмплеров других команд и применять

Team №3

и применять правила фильтрации на всехна всех фильтрах других команд

Team: detector, sampler, filter, investigator


Cooperation

Компьютерная сеть для Компьютерная сеть для моделирования Примермоделирования Примермоделирования. Примермоделирования. Пример


Критерии адаптации команд агентов (Критерии адаптации команд агентов (11//22))

Субъекты взаимодействия (S): команды атаки и защиты.у ( ) Общий подход к адаптации:

n

tKtSCminОтражает Конфигурация системы

Критерий адаптации команды защиты:

iDitS

tKtSC1

,minО ра аестоимости Показатель мощности

атаки/защиты Критерий адаптации команды защиты:

n

DTDFNDFPtStKtSCtKtSCtKtSC ,,,min

itS 1 Процент ложных срабатываний

Процент пропусков атак

Продолжительность атаки

Критерий адаптации команды атаки:n

n

iADAPtE

tKtSCtKtEC1

,,minКоличество Количество обезвреженных


i 1 Количество пакетов

Количество обезвреженных «демонов»

Критерии адаптации команд агентовКритерии адаптации команд агентов (2/2)(2/2)

KD(t) = {Mi, TKj} – конфигурация системы защиты на время t,

где Mi – метод защиты и его параметры (полученные во время обучения)(полученные во время обучения),

TKj – схема кооперации (без кооперации, на уровне фильтров, сэмплеров и полная)на уровне фильтров, сэмплеров и полная)

KA(t)= {Ii, Rj} – параметры атаки на время t,

где Ii – интенсивность атаки (задается злоумышленником),Rj – метод подмены адреса отправителя j д д др р

(без подмены, постоянная, случайная, случайная той же подсети)


у )





Подход к моделированию

Среда моделирования Среда моделирования Экспериментыр



Архитектура среды моделированияАрхитектура среды моделирования


Требования к используемому Требования к используемому инструментарию моделированияинструментарию моделированияинструментарию моделированияинструментарию моделирования

е а а реа за ро о о о о ор е детальная реализация протоколов, которые задействованы в атаках, начиная от сетевого уровня, чтобы была возможность моделирования известных д ратак

возможность написания и подключения собственных модулей для реализации многоагентного подхода

возможность изменения параметров моделирования во время симуляции

реализация для Windows или Linux (либо ф )независимость платформы)

развитый графический интерфейс бесплатность при использовании в исследовательских целях.


Среда моделированияСреда моделирования

Моделируемые процессы происходят в сети Internet Был проведен анализ пакетов моделирования: NS2, NS3,

OMNeT++ INET Framework, SSF Net, J-Sim INET Framework и дрдр.

Выдвинутым требованиям удовлетворяет OMNET++ INET Framework (надстройка над OMNET++)Framework (надстройка над OMNET )

OMNET++ – симулятор дискретных событий, которые происходят внутри модулей

Модуль имеет шлюзы, через которые по каналам передаются сообщения INET F k б б INET Framework был доработан и дополнен новыми модулями для корректного моделирования механизмов атаки и защитыи защиты

На его основе разрабатывается многоагентная среда моделирования процессов защиты информации в сети


р р ф рИнтернет

Интерфейс среды моделированияИнтерфейс среды моделирования

Окно ПараметрыОкноуправления

Параметрысети

АгентАгент

ПараметрыПараметрыработыагентов

ХостХост

Параметрыкомандной

Positive Hack Days 2012, Москва, 30-31 мая 2012 г.Моделируемая сеть

дработы

Параметры исследуемых моделей сети, механизмов защиты и атаки (1(1/2/2))механизмов защиты и атаки (1(1/2/2))

Топология сети: количество и типы хостов и каналов связи между ними.

Конфигурация команд атаки: количество ботов; адрес и порт мастера для взаимодействия; порт бота для посылки пакетов атаки; адрес и порт цели атаки; времяпосылки пакетов атаки; адрес и порт цели атаки; время атаки; интенсивность атаки; метод подмены адреса отправителя.

Параметры реализации атаки: тип цели атаки (приложение, узел или сеть; необходимо указать IP-

) ( бадрес и порт цели атаки), тип атаки (грубая сила (UDP/ICMP flood, smurf/fraggle и др.) или семантическая (TCP SYN, Incorrect packets, Hard requests и др.)), темп(TCP SYN, Incorrect packets, Hard requests и др.)), темп атаки, схема адаптации и т.п.


Параметры исследуемых моделей сети, механизмов защиты и атаки ((2/22/2))механизмов защиты и атаки ((2/22/2))

Параметры команды защиты: адрес защищаемого “ ” й йузла, адрес и порт “детектора” для взаимодействий,

размер ответа на запрос и время обработки запроса сервером; схема адаптации и т.п. р р ; д ц

Параметры механизмов защиты: расположение, этапы защиты, способ обнаружения и т.п. щ , ру

Параметры команды пользователей: количество пользователей; адрес и порт сервера; время началапользователей; адрес и порт сервера; время начала работы; количество, запросов, интервал между запросами, размер запросов к серверу в одном соединении; интервал между соединениямисоединении; интервал между соединениями.

Параметры кооперации агентов защиты: схема кооперациикооперации.

Параметры моделирования: продолжительность моделирования количество экспериментов и др


моделирования, количество экспериментов и др.






Среда моделирования Среда моделирования

Экспериментыр Заключение


Виды экспериментовВиды экспериментов

Созданная среда моделирования позволяет д р д д рпроводить различные эксперименты с целью исследования стратегий реализации атак и перспективных методов защитыперспективных методов защиты.

В процессе экспериментов можно варьировать топологию и конфигурацию сети; топологию и конфигурацию сети; структуру и конфигурацию команд атаки и защиты;защ ;

механизмы реализации атак и защиты; параметры кооперации команд и др.р р р ц д др


Фрагмент сети Интернет (1/2)


Пример работы моделиПример работы модели


Конфигурация 2: Фрагмент сети Интернет (2/2)

Уровни детализации:1. Автономных систем (АС): -метод положительной обратной связи (PFP, positive-feedback preference) [Zh t 2006 ][Zhou, etc., 2006 ]; - моделировались сети из 5-10 АС; - соединение транзитных АС - посредством канала связи с пропускной- соединение транзитных АС - посредством канала связи с пропускной способностью dr=10000 Мбит/с и задержкой d=1 мкс., соединения других АС - при dr=5000 Мбит/с и d=1 мкс. 2. Внутренняя топология (Router-level topology):- В каждой АС присутствует примерно 300 конечных узлов;

HOT о е (HOT He risticall Optimal Topolog ) [Li etc 2004] со- HOT-модель (HOT, Heuristically Optimal Topology) [Li ., etc., 2004] со следующими параметрами: количество маршрутизаторов - 20-25; доля магистральных маршрутизаторов в общем количестве маршрутизаторов –5%; количество хостов, приходящихся на маршрутизатор, - 20-25. Оборудование узлов представлено типами “маршрутизатор” и “хост”. На каждый узел установлена модель стандартного стека протоколов который


каждый узел установлена модель стандартного стека протоколов, который включает протоколы PPP, LCP, IP, TCP, ICMP, ARP, UDP.

Трафик распространения сетевых червейТрафик распространения сетевых червей


Управление Управление ботбот--сетьюсетью с использованием с использованием протоколапротокола IRCIRC и механизмов ее обнаруженияи механизмов ее обнаруженияпротокола протокола IRCIRC и механизмов ее обнаруженияи механизмов ее обнаружения

Для коммуникации между компьютерами- «зомби», Д у ц ду р ,командным центром и «мастером» используется модель протокола на основе протокола IRC. р р

Для обнаружения узлов бот-сети на этапе управления используется метод на основе [Akiyama у р у д [ yet al., 2007].


Распределение участников по Распределение участников по IRCIRC--каналамканалам


График обнаружения аномалий в График обнаружения аномалий в IRCIRC--трафикетрафикетрафике трафике

Количество IRC-пакетов в секунду, относящихся к различным IRC-каналам, измеренное детектором в


р , р д рразличных точках сети

Уровень трафика атаки внутри Уровень трафика атаки внутри атакуемой подсетиатакуемой подсетиатакуемой подсетиатакуемой подсети


Принятие решения и функционированиеГрафики изменения пропускной способности канала на входе в защищаемую сеть (зависимость бит/с от времени) до (красный) и после фильтра (синий)

10000 Трафик атаки

5000

Нормальный трафик

Обнаружение трафика атаки и принятие решения Блокирование трафикаБлокирование трафика

атаки

200 400 600

Начало ИзменениеНачало Начало


Начало атаки

Изменение режима атаки

Начало блокированияНормальный трафик

Начало блокирования

Пример базовой схемы адаптации, примененной в экспериментахпримененной в экспериментах

В зависимости от мощности атаки, команда защиты изменяет щ , щпараметры методов защиты и кооперации, минимизируя стоимость защиты. Последовательность используемых методов:методов:

BPS -> SIPM -> SIPM + HCF Команда атаки перераспределяет интенсивность атаки Команда атаки перераспределяет интенсивность атаки

между демонами и изменяет методику подмены адреса, минимизируя количество пакетов атаки и уменьшая вероятность обезвреживания ботов агентами защитывероятность обезвреживания ботов агентами защиты. Сначала команда, обладая большим количеством ботов, распределяет нагрузку равномерно между ними и нераспределяет нагрузку равномерно между ними и не использует метод подмены адреса, чтобы они не были отмечены брандмауэрами своих подсетей.

Если, после действий команды защиты, некоторые боты будут обезврежены, команда атаки повышает нагрузку на оставшихся (для сохранения общей интенсивности) и


оставшихся (для сохранения общей интенсивности) и применяет метод подмены адреса отправителя.

Трафик при адаптации команд агентов Трафик при адаптации команд агентов без кооперациибез кооперациибез кооперациибез кооперации

Обозначение трафика: на1. Атака трафика: на входе атакуемой

2. Защита методом

подсети –серый; внутри сети - черный

BPS

5. Команда защитызащиты применяет метод SIPM. Трафик внутриТрафик внутри подсети снижается

3. Агентам защиты удается обезвредить ряд ботов, поэтому трафик на входе в защищаемую

4. Мастер команды атаки перераспределяет нагрузку на оставшихся ботов и меняет метод подмены адреса на “случайный” Из-за


трафик на входе в защищаемую подсеть снижается

метод подмены адреса на случайный . Из за этого сильно возрастает трафик

Трафик при адаптации команд агентов Трафик при адаптации команд агентов при кооперации на уровне фильтровпри кооперации на уровне фильтровпри кооперации на уровне фильтровпри кооперации на уровне фильтров

Благодаря тому, что команда защиты получает правила фильтрации от других команд, блокировка трафика атаки


происходит существенно быстрее, чем без кооперации

Трафик при адаптации команд агентов Трафик при адаптации команд агентов при кооперации на уровне сэмплеровпри кооперации на уровне сэмплеровпри кооперации на уровне сэмплеровпри кооперации на уровне сэмплеров

При изменении метода атаки растет только трафик на входе в защищаемуюПри изменении метода атаки растет только трафик на входе в защищаемую подсеть. Внутри подсети трафик остается на приемлемом уровне. Это связано с тем, что при обучении, команды защиты получали данные от сэмплеров других команд из других подсетей Этих данных оказалось достаточно для метода SIPM


команд из других подсетей. Этих данных оказалось достаточно для метода SIPM, чтобы сразу блокировать атакующих, изменяющих свой адрес на случайный.

Трафик при адаптации команд агентов Трафик при адаптации команд агентов при полной кооперациипри полной кооперациипри полной кооперациипри полной кооперации

Трафик имеет такой же характер, что и при кооперации на уровне сэмплеров. Решающую роль в защите от атаки сыграла кооперация сэмплеров


Решающую роль в защите от атаки, сыграла кооперация сэмплеров.

Сравнение процессов адаптации Сравнение процессов адаптации для различных схем кооперациидля различных схем кооперациидля различных схем кооперациидля различных схем кооперации

Без коо- Кооперация на уровнеперации на уровне фильтров

Кооперация на уровне сэмплеров

Полная коопе-

сэмплеров рация высокий трафик взаимо-

Лучшая схема действия команд







Среда моделирования Среда моделирования

Экспериментыр



Основные результаты работы (1)Основные результаты работы (1)

Проанализирована концепция использования многоагентного подхода для построения систем нападения и защиты в сети ИнтернетП б Продемонстрированы способы реализации агентов атаки и защитыП Представлен подход к многоагентному моделированию защиты информации с сети ИнтернетВозможности подхода анализировались на основе Возможности подхода анализировались на основе моделирования перспективных механизмов защиты

На базе OMNeT++ INET Framework На базе OMNeT++ INET Frameworkразработана среда для многоагентного моделирования.

Проведено большое количество экспериментов Проведено большое количество экспериментов. Исследовались параметры эффективности адаптивной кооперативной защиты


р щ

Основные результаты работы (2)Основные результаты работы (2)

Проведенные эксперименты показали возможность использования предложенного подхода для моделирования механизмов защиты и для анализа проектируемых сетей. р ру

Они продемонстрировали также, что использование кооперации нескольких команд и комбинированного адаптивного применения различных механизмовфункционирования ведет к существенному повышению эффективности защиты.эффективности защиты.

Дальнейшее направление исследований связано с совершенствованием предлагаемого подхода и среды моделирования, более глубоким анализом эффективности кооперативных механизмов различных команд, исследованием механизмов адаптации и самообученияисследованием механизмов адаптации и самообучения агентов, расширением библиотек атаки и защиты, анализом новых механизмов защиты


Контактная информацияКонтактная информация

Котенко Игорь Витальевич (СПИИРАН)р ( )[email protected]

http://comsec.spb.ru/kotenko/Благодарности

• Работа выполняется при финансовой поддержке РФФИРабота выполняется при финансовой поддержке РФФИ (проект №10-01-00826), программы фундаментальных исследований ОНИТ РАН (проект № 2.2), государственного контракта 11.519.11.4008 и при частичной финансовой поддержке, осуществляемой в рамках проекта Евросоюза Massifрамках проекта Евросоюза Massif.

Positive Hack Days 2012, Москва, 30-31 мая 2012 г.РОССИЙСКАЯ АКАДЕМИЯ НАУК

Кибервойны программных агентов

Technology

Transcript of Кибервойны программных агентов