Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
…                        …         …                        …Кибервойны программных агентов:  применение теории командной ...
MMM-MMM-ACNS 2012 и SA&PS4CS 2012         2012            2012                Шестая Международная конференция           ...
План доклада Введение Многоагентный подход к построению  киберармий Примеры реализаций агентов Особенности моделирован...
Важность и актуальность проблемы (1/4)                    у          р       (                                       (1/4•...
Важность и актуальность проблемы (2/4)                  у          р• К  Ключевой чертой каждой из систем становится      ...
Централизованная и распределенная                    структуры бот-сетей                      ру ур бот-   Централи   Цент...
Пример четырехуровневой                   структуры бот-сетей                     ру ур бот-                              ...
Пример топологии P2P бот-сети                      бот-Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
Важность и актуальность проблемы (3/4)                     у          р   Кроме того, системы нападения и защиты в Интерн...
Важность и актуальность проблемы (4/4)                       у          р   Наибольшими перспективами здесь обладают техн...
МетафораPositive Hack Days 2012, Москва, 30-31 мая 2012 г.
Фрагмент представления множества команд агентов в сети Интернет Среда                     Защищаемая сеть…   - Команда аге...
Цель и задачи работы   Цель работы: исследование возможности применения    предлагаемого агентно-ориентированного подхода...
Основные работы, используемые        в качестве базиса для исследований (1/2)                                           (1...
Основные подходы, используемые         в качестве базиса для исследований (2/2)•   Системы кооперативных распределенных гр...
План доклада Введение Многоагентный подход к построению  киберармий Примеры реализаций агентов Особенности моделирован...
Интеллектуальные агентыИнтеллектуальные программные агенты – программные           у         р р                    р рком...
Модель агента в МАС                       д   Модель агента в МАС предполагает, что     агенты существуют в общей внешне...
Сетевые программные агенты Агенты - “легкие” интеллектуальные автономные программы,                             у        ...
Общие принципы координации                     поведения в МАС•   В основе большинства известных методов координации МАС  ...
Подходы к координации               группового поведения агентов (1/3)1. Координация с помощью удовлетворения общих правил...
Подходы к координации           группового поведения агентов (2/3)2. Координация поведения на основе обмена мета –   инфор...
Подходы к координации            группового поведения агентов (3/3)                                         (33. Командная...
Роботы, принимающие участие в      соревнованиях RoboCupPositive Hack Days 2012, Москва, 30-31 мая 2012 г.
Подходы и системы, реализующие                системы,            командную работу   Классические подходы:      Теория о...
Теория общих намеренийГоворят, что агент имеет слабую конечную цель p относительно условий q,если выполняется любое из ниж...
Комбинированный подход• Структура команды агентов описывается в терминах иерархиигрупповых и индивидуальных ролей в различ...
Методы построения МАС и оптимизации                 командной работы   BDI-модели (            д    (Belief-desire-intent...
Работы в области адаптации (1/3)                                      (1/3   Адаптация и обучение в автоматических систем...
Работы в области адаптации (2/3)   Саморегенеративные системы [Atighetchi et al.,04]   Подход, основанный на использован...
Cаморегенеративные системы   Обеспечить 100% критических функций в течение всего времени    функционирования в условиях р...
Работы в области адаптации (3/3)   Искусственные иммунные системы [Ishida et al.,04].        у                  у        ...
План доклада Введение Многоагентный подход к построению  киберармий Примеры реализаций агентов Особенности моделирован...
Общая архитектура агента                                   Окружающая     Входное                          среда          ...
Реализация агентов атаки              Предложенный подход к реализации               р д           д д р         ц1. Модел...
Фрагмент онтологии атак макро-уровня                                    макро-                                            ...
Задание цели атакиЦель атаки:  <Адрес сети (хоста) Намерение злоумышленника Известные параметры сети               (хоста)...
Задание атак в виде формальных грамматик  Математическая модель атак:MA = <{ Gi } , { Su }> ,где {G} – формальные граммати...
Автоматная интерпретация атакСемейство взаимосвязанных автоматов задает алгоритм генерации атак, описанных в терминахформа...
Диаграмма взаимодействия автоматов                                                                                        ...
Пример автомата R (“Разведка”)                                                (“Разведка”)                                ...
Интерфейс пользователя    для задания задачи атаки                              Основные элементы                         ...
Окно визуального представления развития атаки               на макро-уровне                  макро-Спецификация задачи    ...
Обобщенная архитектура системы обнаружения            вторжение (МСОВ)                                  Интерфейс пользова...
Архитектура компонентов МСОВ на хосте     Компоненты МСОВ           1.          2.                  3.        От агентов  ...
Функции базовых агентов МСОВ           у AD-E (AD-Events) — предварительная обработка сообщений  AD- AD-  и фиксация знач...
Визуализация обмена сообщениями                      между агентами                         ду                  (в процесс...
План доклада Введение Многоагентный подход к построению  киберармий Примеры реализаций агентов Особенности моделирован...
Общие этапы моделирования для решения            задач защиты информации   Построение модели защищаемой системы   Постро...
Метод явного учета нарушителя                  у       руОписаниесистемы                         Формальная               ...
Фундаментальный компромисс между         сложностью модели и ее адекватностью   Модели абстрактны и сильно упрощены     ...
Области использования моделирования              для задач защиты информации   Анализ влияния (Impact assessment) для опр...
Компоненты, используемые при          моделировании сетевых процессов (1/2)                                          (1/2)...
Компоненты, используемые при          моделировании сетевых процессов (2/2)                                          (2/2)...
План доклада Введение Многоагентный подход к построению  киберармий Особенности моделирования для задач  защиты информа...
Основные положения подхода (1/2)                                      1/2   Кибернетическое противоборство представляется...
Основные положения подхода (2/2)                                 (2/2   Цель команды агентов-злоумышленников    состоит в...
Процедуры поддержки командной работы1. Процедуры обеспечения со асо а ос действий1 Про е р обес е е           согласованно...
Модель взаимодействия команд агентов Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
Реализация сценариев (1/3)                                    (1/3   Д    Для выполнения экспериментов были реализованы: ...
Основные параметры сценариев                  распространения (1/2)   Транспортный протокол (Transport p      р     р    ...
Основные параметры сценариев                  распространения (2/2)   Тип сканирования (Scan type) ( р              р    ...
Реализация сценариев (2/3)                            (2Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
Реализация сценариев (3/3)                                        (3   Сценарий у р          р управления задается процед...
Команда атакиCattack  M , A                               Демон                                                        ...
Команда защитыCdefense  S , D, F , L, I    f                                Фильтр         Ограничитель        Агент ат...
Исследования по механизмам защиты                  от распространения   Разработаны р        р         различные механизм...
Метрики для обнаружения бот-сетей (1/3)                                   бот-      (1/3)                      Отклик     ...
Метрики для обнаружения бот-сетей (2/3)                        бот-                    Отклик                             ...
Метрики для обнаружения бот-сетей (3/3)                        бот-       Синхронизированный трафик                       ...
Примеры методов обнаружения                    вредоносного трафика   Hop counts Filtering (HCF): заключается в формирова...
Кибервойны программных агентов
Кибервойны программных агентов
Кибервойны программных агентов
Кибервойны программных агентов
Кибервойны программных агентов
Кибервойны программных агентов
Кибервойны программных агентов
Кибервойны программных агентов
Кибервойны программных агентов
Кибервойны программных агентов
Кибервойны программных агентов
Кибервойны программных агентов
Кибервойны программных агентов
Кибервойны программных агентов
Кибервойны программных агентов
Кибервойны программных агентов
Кибервойны программных агентов
Кибервойны программных агентов
Кибервойны программных агентов
Кибервойны программных агентов
Кибервойны программных агентов
Кибервойны программных агентов
Кибервойны программных агентов
Кибервойны программных агентов
Кибервойны программных агентов
Кибервойны программных агентов
Кибервойны программных агентов
Кибервойны программных агентов
Кибервойны программных агентов
Кибервойны программных агентов
Кибервойны программных агентов
Кибервойны программных агентов
Кибервойны программных агентов
Кибервойны программных агентов
Кибервойны программных агентов
Upcoming SlideShare
Loading in …5
×

Кибервойны программных агентов

1,944 views

Published on

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Кибервойны программных агентов

  1. 1. … … … …Кибервойны программных агентов: применение теории командной р рработы интеллектуальных агентов для построения киберармий б й И.В. Котенко Санкт-Петербургский институт информатики и автоматизации РАН Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  2. 2. MMM-MMM-ACNS 2012 и SA&PS4CS 2012 2012 2012  Шестая Международная конференция "Математические методы, модели и архитектуры для защиты компьютерных сетей" (MMM-ACNS- 2012)  представление статей до 9 июня  Второй международный семинар р ду р д р "Научный анализ и поддержка политик безопасности в кибер-пространстве" (SA&PS4CS’12) 17-20 октября 2012 г., Санкт-Петербург, Россия http://comsec.spb.ru/mmm-acns12/ http://comsec spb ru/mmm acns12/ http://www.comsec.spb.ru/saps4cs12/ Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  3. 3. План доклада Введение Многоагентный подход к построению киберармий Примеры реализаций агентов Особенности моделирования для задач защиты информации Подход к моделированию Среда моделирования р р Эксперименты Заключение Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  4. 4. Важность и актуальность проблемы (1/4) у р ( (1/4• В настоящее время мы являемся свидетелями новой фазы противостояния (“гонки вооружений”) в Интернет между системами нападения и защиты• В Важными особенностями этого противостояния является б • повышение уровня автоматизации, мощности, изощренности и масштабности этих систем • использование концепции “постоянных изощренных угроз” (“Изощренный” - обладание полным спектром методов разведки и компрометации. “Постоянный” - предпочтение некоторой определенной цели, постоянный мониторинг и взаимодействие с объектом атаки для достижения) и комплексной многоуровневой защиты; • профессиональная разработка кибероружия и средств защиты, увеличение количества субъектов (включая отдельные группы злоумышленников, корпорации и страны), осуществляющих его разработку и совершенствование.) совершенствование ) • пример: Stuxnet -> Duqu -> Flame -> … Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  5. 5. Важность и актуальность проблемы (2/4) у р• К Ключевой чертой каждой из систем становится й й й необходимость обеспечить • согласованное функционирование (как единой команды) большого количества (гетерогенных) компонентов, организованных в сеть, различные узлы которой могут работать в различных операционных средах, использовать различные коммуникационные протоколы и т.п. Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  6. 6. Централизованная и распределенная структуры бот-сетей ру ур бот- Централи Централи- Распреде Распреде- зованная узел “хозяин” ленная узел “командный центр”узлы боты (“зомби”) ( зомби”) Цель Цель узел “цель” атаки атаки Internet Relay Chat (IRC) Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  7. 7. Пример четырехуровневой структуры бот-сетей ру ур бот- Цель атакиАрхитектура сети “Storm Worm” р ур Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  8. 8. Пример топологии P2P бот-сети бот-Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  9. 9. Важность и актуальность проблемы (3/4) у р Кроме того, системы нападения и защиты в Интернет р , д щ р должны обладать способностью динамически изменяться при изменении задачи, поведения противодействующей стороны, среды ффункционирования и т.п. Для реализации этих возможностей в перспективных системах нападения и защиты необходимо обеспечить механизмы интеллектуального поведения, и, в первую очередь, очередь эффективную координацию группового поведения и адаптивность, в т.ч. способность формировать и изменять при необходимости, как необходимости отдельными компонентами, так и всей системой в целом, свои текущие цели, функционировать без вмешательства у у человека и осуществлять самоконтроль над своими действиями и внутренним состоянием Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  10. 10. Важность и актуальность проблемы (4/4) у р Наибольшими перспективами здесь обладают технологии, р д д , основанные на  распределенном принятии решений (они смещают основной объем вычислений по обработке данных на уровень отдельных компонентов),  концепции многоагентных систем (МАС) ( (она очень удобна для б концептуализации и декомпозиции распределенных проблем)  архитектуре, архитектуре ориентированной на сервис (в ней агенты могут кооперироваться при минимуме начальной информации о топологии сети, об агентах, присутствующих в ней, и о , , р у у щ , доступных сервисах) ,  P2P-взаимодействиях (эта технология поддерживает реализацию свойства открытости, поскольку она не требует использования централизованного сервера для поддержки взаимодействия агентов) агентов). Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  11. 11. МетафораPositive Hack Days 2012, Москва, 30-31 мая 2012 г.
  12. 12. Фрагмент представления множества команд агентов в сети Интернет Среда Защищаемая сеть… - Команда агентов- - Команда агентов защиты злоумышленников … - Взаимодействие - Взаимодействие агентов агентов-злоумышленников у защиты за - Маршрут атакиPositive Hack Days 2012, Москва, 30-31 мая 2012 г.
  13. 13. Цель и задачи работы Цель работы: исследование возможности применения предлагаемого агентно-ориентированного подхода к построению команд интеллектуальных агентов, реализующих атаки и механизмы защиты в Интерне (на примере различных атак, в том числе DDoS, и защиты от бот-сетей). Эволюционный подход к разработке подхода Наибольший акцент делается на исследовании ц д д кооперативных и адаптивных сценариев противодействия команд агентов атаки и защиты Теоретические задачи: исследование новых механизмов реализации атак и защиты Прикладные задачи: оценка безопасности р д д ц существующих сетей, рекомендации по построению перспективных систем защиты Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  14. 14. Основные работы, используемые в качестве базиса для исследований (1/2) (1/2) Теория коллективного поведения и группового управления: John von Neumann M Mesarovic, М Л Цейтлин В.И. Варшавский Д.А. Neumann, M. Mesarovic М.Л. Цейтлин, В И Варшавский, Д А Поспелов, В.Городецкий и др. Многоагентные системы: N.Jennings, M.Wooldridge, В.И.Городецкий и др.  Командная работа агентов: P.Cohen (общие намерения), B.Grosz, S.Kraus (разделяемые планы); M.Tambe (комбинированные подходы) и др. Системы вывода основанные на предсказании намерений и вывода, планов оппонента: E.Charniak (формулировка задачи распознавания как задачи абдуктивного вывода); H.Kautz, J.Allen (распознавание плана на основе идентификации минимального множества высокоуровневых действий, которые достаточны для объяснения наблюдаемых действий) и др. др рефлексивные процессы: В.А.Лефевр, В.Е.Лепский и др. Теоретико-игровое моделирование: J.Nash, G.Zlotkin , р р д р , J.Rosenschtein, T.Sandholm, Ю.Б. Гермейер, А.И.Кондратьев и др. Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  15. 15. Основные подходы, используемые в качестве базиса для исследований (2/2)• Системы кооперативных распределенных грамматик и грамматические модели агентских систем: M ter Beek J Gaso M.ter Beek, J.Gaso, J.Kelemen, J.Dassow и др.• Моделирование атак на компьютерные сети:[Ritchey et al 00, al-00, Swiler et al-01, Ortalo et al-01, Sheyner et al-02 и др.• Моделирование процессов защиты информации, в т.ч. моделей аутентификации и разграничения доступа, виртуальных частных сетей, инфраструктуры открытых ключей, обнаружения вторжений и др.др• Адаптивные системы: Я.З.Цыпкин, В.И.Скурихин и др.• Обнаружение данных и знаний (data mining)• Слияние данных и информации (data and information fusion),• Биологические подходы к защите информации, в том числе иммунные системы, метафора “ ф “нервная система сети” и др. ”• и др. (междисциплинарный характер исследований) Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  16. 16. План доклада Введение Многоагентный подход к построению киберармий Примеры реализаций агентов Особенности моделирования для задач защиты информации Подход к моделированию Среда моделирования р р Эксперименты Заключение Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  17. 17. Интеллектуальные агентыИнтеллектуальные программные агенты – программные у р р р ркомпоненты, которые могут выполнять специфическиезадачи, поставленные пользователем, и обеспечивать такуюстепень интеллекта, которая позволяет выполнять эти задачиавтономно, адаптируясь к среде и взаимодействуя со средойи другими агентами рациональным способом. … … … … Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  18. 18. Модель агента в МАС д Модель агента в МАС предполагает, что  агенты существуют в общей внешней среде, где имеются различные ограничения на функционирование  агенты имеют ограниченные общие ресурсы  агенты существуют и принимают решения в условиях неопределенности, когда каждый агент обладает ограниченной информацией, что влечет необходимость информацией информационного обмена между ними  агенты обладают ограниченной компетенцией и возможностями, что может быть восполнено путем привлечения знаний и фу ц р функциональных возможностей других агентов  агенты должны синхронизировать свои д д р р действия при р решении общей задачи Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  19. 19. Сетевые программные агенты Агенты - “легкие” интеллектуальные автономные программы, у р р ,реализующие функции атаки или защиты.Агенты являются мобильными или распределены по хостам сети, сетиспециализированы по типам решаемых задач и взаимодействуютдруг с другом с целью обмена информацией и принятиясогласованных решений. В явном виде отсутствует “центр управления” – в зависимости от у у усложившейся ситуации ведущим может становиться любой изагентов, специализирующихся на задачах управления командойагентов. В случае необходимости агенты могут клонироваться и функционирование. Апрекращать свое ф Агенты могут адаптироватьсяк реконфигурации сети, изменению трафика и новым видам атак,используя накопленный опыт опыт. Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  20. 20. Общие принципы координации поведения в МАС• В основе большинства известных методов координации МАС лежит понятие ""совместных обязательств" б " (commitments) агентов, которое постулирует необходимость выполнения агентом последовательности действий ведущей действий, к достижению предопределенной цели в интересах сообщества агентов. агентов• Знания об обязательствах других агентов позволяют агенту учесть при планировании поведения "общественный общественный контекст" и ограничения, которые он должен принимать во внимание. Одна из ф р обязательств агента - его роль. д форм р• Другое важное понятие - это общественные "соглашения" (conventions). Оно фиксирует условия, при которых обязательства выполняются, и обстоятельства, когда агент может или должен отказываться от исполнения взятых на себя обязательств. б б Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  21. 21. Подходы к координации группового поведения агентов (1/3)1. Координация с помощью удовлетворения общих правилгруппового поведения (social rules) rules).• Обычно такой подход используется в системах с заданной организационной структурой в которой правила группового структурой, поведения должны строго выполняться.• Биологический прототип такого варианта координации - пчелиный рой или сообщества муравьев, термитов и т.п. (“Звездный десант”)• В таких сообществах каждый агент является простейшим автоматом. Однако множество правил группового поведения формирует систему, которая проявляет высокоорганизованное поведение.• Координация в этом случае содержит два вида деятельности: 1) поддержание организационной структуры сообщества 2) использование правил группового поведения для определения конкретных действий агента. Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  22. 22. Подходы к координации группового поведения агентов (2/3)2. Координация поведения на основе обмена мета – информацией. ф й• Она касается, например, согласования обязательств и правил разрешения конфликтов• Примеры: методы распределенного планирования [L.Gasser-92], [L Gasser-92] методы "Частичного глобального Частичного планирования" ("Partial Global Planning" [Е.Durfee-88]• Агенты информируют друг друга о своих локальных планах и ведут переговоры для согласования своих обязательств• Существует большое р ущ у разнообразие конкретных р р реализаций этого подхода.• Пример: Задача о восьми ферзях Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  23. 23. Подходы к координации группового поведения агентов (3/3) (33. Командная работа.• П агентов, которые сотрудничают д достижения общей Про д для д б й долговременной цели, функционируют в динамической внешней среде в присутствии шума и противодействия со стороны соперника принято говорить, что они образуют команду агентов (пример: трафик <-> эскорт президента). президента)• Наличие соперничающей команды или "враждебной" внешней среды является одной из специфических особенностей, которая отличает командную работу от обычной кооперации агентов в МАС. р ц• Здесь каждый агент имеет ограниченную информацию о собственной команде, о внешней среде и о сопернике и реализует собственные намерения с помощью индивидуальных действий, исполняемых параллельно или последовательно с действиями других агентов. й Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  24. 24. Роботы, принимающие участие в соревнованиях RoboCupPositive Hack Days 2012, Москва, 30-31 мая 2012 г.
  25. 25. Подходы и системы, реализующие системы, командную работу Классические подходы:  Теория общих намерений [Cohen 1991]  Теория общих планов [Grosz 1996]  К Комбинированный подход, система St б й Steam [T b 1997] [Tambe Системы многоагентного моделирования  GRATE*: общая ответственность [Jennings 1995]  OAA: доска объявлений [Martin 1999]  CAST: общая ментальная модель [Yen 2003]  RETSINA-MAS: комбинации всевозможных ролей агентов [Giampapa 2002]  Robocup soccer: ориентация на собственную модель мира [Stankevich 1999]  COGNET/BATON: взаимодействие людей и агентов [Zachary 1996]  Team-Soar: «многоуровневая теория» [Kang 2001] Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  26. 26. Теория общих намеренийГоворят, что агент имеет слабую конечную цель p относительно условий q,если выполняется любое из нижеследующих условий:1. Агент сохраняет стандартную цель p, которую он стремится достичь, т.е. у агентанет убеждения, что цель достигнута, и значит, он полагает, что цель p продолжаетоставаться долговременной целью;2. Агент убежден, что цель (1) или достигнута (утверждение p истинно), (2) илиникогда не будет достигнута, (3) или нерелевантная (утверждение q ложно), и приэтом его текущая подцель состоит в том, чтобы сделать информацию о статусе цели б фобщим убеждением членов команды.Команда агентов имеет общую долговременную цель достигнуть p приусловии q в том случае, если выполнены все нижеследующие условия:1. Все члены команды убеждены, что выражение p в текущем состоянии ложно (т.е.долговременная цель не достигнута) достигнута).2. Все члены команды знают, что все они хотят сделать выражение p истинным (т.е.достигнуть цели).3. Справедливо, и все члены команды это знают, что до тех пор, пока все они непридут к общему убеждению, что (1) или выражение p истинно, (2) или p никогда небудет истинным, (3) или что q ложно (цель нерелевантная), они будут убеждены, чтоp является слабой долговременной целью в условиях q для всех членов команды. КИИ 2004, 28 сентября-2 октября, Тверь Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  27. 27. Комбинированный подход• Структура команды агентов описывается в терминах иерархиигрупповых и индивидуальных ролей в различных сценариях йдействий.• Листья иерархии отвечают ролям индивидуальных агентов, агентовпромежуточные узлы  групповым ролям.• Спецификация иерархии планов действий осуществляется длякаждой из ролей. Для каждого плана описываются:(1) начальные условия, когда план предлагается для исполнения;(2) условия, при которых план прекращает исполняться;(3) действия, выполняемые на уровне команды, как часть общегоплана.плана• Спецификация иерархии планов действий осуществляется в видеиерархии действий описываемых на различных уровнях действий, уровнях.• Назначение ролей и распределение планов между агентамивыполняется в д а э а а ( ) с а ала план рас редел е с в ол е с два этапа: (1) сначала ла распределяетсятерминах ролей, (2) каждой из ролей ставится в соответствие агент. Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  28. 28. Методы построения МАС и оптимизации командной работы BDI-модели ( д (Belief-desire-intention), определяемые схемами ), р д функционирования агентов, обуславливаемыми зависимостями предметной области методы распределенной оптимизации на основе ограничений й й (Distributed constraint optimization, DCOP) , использующие локальные взаимодействия при поиске локального или глобального оптимума методы распределенного принятия решений на основе частично- наблюдаемых Марковских сетей (Distributed Partially Observable Markov Decision Problems, POMDPs) , позволяющих реализовать координацию командной работы при наличии неопределенности в действиях и наблюдениях теоретико-игровые модели и модели ау ц о а, фокусирующиеся на еоре о ро е одел одел аукциона, фо ус рующ ес а координации среди различных команд агентов, использующих рыночные механизмы принятия решений Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  29. 29. Работы в области адаптации (1/3) (1/3 Адаптация и обучение в автоматических системах [Я.З.Цыпкин, 1968] [Я З Ц Системы адаптивного управления производством [В.И.Скурихин, [В И Скурихин 1984] Рефлексивные процессы (В.А.Лефевр, В.Е.Лепский, Д Д.А.Поспелов и др ) др.) Динамические интеллектуальные системы [Д.А.Поспелов, Г.С.Осипов, В.Л.Стефанюк и др.] Адаптивное поведение (б (биологическая метафора) ) [Редько В.Г. и др.] Типовая модель для динамической адаптации в реальном времени [Silva et al.,00] Базовые принципы автономных вычислений (самовосстановление, самоконфигурирование, самооптимизация и самозащита) [Kephart et al.,03], [Want et al.,03] al 03] Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  30. 30. Работы в области адаптации (2/3) Саморегенеративные системы [Atighetchi et al.,04] Подход, основанный на использовании промежуточного программного обеспечения [Atighetchi et al.,03], [Zou et al.,06] l 06] Архитектура Willow [Knight et al.,02]: (1) обход неисправностей ( основе отключения уязвимых й (на элементов сети), (2) устранение неисправностей (посредством замены программных элементов системы) и (3) устойчивость к неисправностям (на базе р реконфигурации системы) ф ур ц ) Самоуправляемая координационная архитектура [Cheng ] et al.,04] Подход к инкрементальной адаптации, основанный на использовании внешних механизмов [Combs et al.,02], [Dashofy et al.,02], [Gross et al.,01], [Oreizy et al.,99] Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  31. 31. Cаморегенеративные системы Обеспечить 100% критических функций в течение всего времени функционирования в условиях реализации атак. Обнаруживать собственные уязвимости для повышения живучести в процессе функционирования функционирования. Восстанавливать сервисы после атаки. Теоретическая производительностьСпособностьобеспечениясервисов Первоначальная Само- функциональность Устойчивая к регенеративная Традиционная Т вторжению система система система (выполняет (терпит крах) (постепенно реконфигурацию и деградирует)) самооптимизацию)) 100%-ая критическая функциональностьИсточник: Lee Badger (атака или ошибка) Время Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  32. 32. Работы в области адаптации (3/3) Искусственные иммунные системы [Ishida et al.,04]. у у [ ] Множество различных приложений в области компьютерной безопасности [Negoita et al.,05]. Реализация адаптивного подхода к защите от атак DDoS:  способность динамического изменения поведения для поддержки работы сетевых сервисов во время атаки [Piszcz et al.,01]  система SSaber ( (комплексирование различных механизмов: обнаружение вторжений, автоматическая установка заплат миграция процессов и фильтрация заплат, атак ) [Keromytis et al.,03]  гранулярно-адаптивное обнаружение атак [Gamer et у у al.,06]  принцип адаптивной защиты на основе минимизации “стоимости” защиты [Zou et al 06] стоимости” al.,06] Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  33. 33. План доклада Введение Многоагентный подход к построению киберармий Примеры реализаций агентов Особенности моделирования для задач защиты информации Подход к моделированию Среда моделирования р р Эксперименты Заключение Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  34. 34. Общая архитектура агента Окружающая Входное среда Выходное сообщение сообщение Восприятие Получатель окружающей Отправитель входных среды исходящих сообщений щ сообщений БД Процессор База знаний входного Мета- Буфер уф р трафика автомат Буфер Автомат 1 А входных исходящих ….сообщений Интерфейс Автомат с щ сообщений с пользо- самостоятельно Автомат N активизируемым вателем поведением База данных диалогов агента Агент [Пользователь] Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  35. 35. Реализация агентов атаки Предложенный подход к реализации р д д д р ц1. Моделирование атаки базируется на задании цели атаки атаки.2.2 Многоуровневое описание атаки представляется в виде: сценарий сценарий простые атаки трафик атаки трафик.3. Разработка моделей распределенных атак основана на задании онтологии предметной области области.4. Формальное описание сценариев и простых атак выполнено на базе р ц р р семейства стохастических атрибутных грамматик грамматик.5. Д Для структурирования многоуровневого описания распределенных ру ур р ур р р д атак используются операции подстановки грамматик грамматик.6. Программная реализация имитатора атак выполнена на основе автоматной интерпретации грамматик.7. Генерация действий (атак) злоумышленника в зависимости от реакции атакуемой сети происходит в реальном масштабе времени. Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  36. 36. Фрагмент онтологии атак макро-уровня макро- A Разведка Сетевая атака R Определение IS служб хоста ABE Определение приложений и заголовков р Определение IO UE ОС хоста Определение Внедрение и CI RE пользователей и реализация угрозыСбор дополнительнойинформации групп I IH Определение CBD Создание Определение разделяемых ресурсов “потайных функционирующих хостов ходов” SPIH GAR CTСокрытие Диапазонная проверка по DC Сканирование Получение ping PS доступа к следов портов ресурсам ER GAD Proxy- P ST TR Сбор дополнительной сканирование Расширение Реализация информации TCP connect - Понятия микро- DHS сканирование привилегий угрозы Dumb host - ур уровня сканирование TCP SYN - SFB SS сканирование CD DOS FTP Bounce - сканирование ID “Отказ в SF Нарушение обслуживании” SN TCP FIN - Нарушение целостности конфиденциальности TCP Null - SXсканирование сканирование HS SU TCP Xmas Tree - – Отношение “Часть …" Half -сканирование - UDP сканирование сканирование – Отношение "Класс " Класс… Понятия более низких уровней – Отношение "Последовательность…" Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  37. 37. Задание цели атакиЦель атаки: <Адрес сети (хоста) Намерение злоумышленника Известные параметры сети (хоста), злоумышленника,(хоста), Объект атаки>. Адрес сети (хоста): р ( ) Примеры: 244.146.4.0, 198.24.15.0, 210.122.25.0; 244.146.4.1, 244.146.4.12 . Известные параметры сети (хоста): Примеры: Type of OS = ‘Windows 2000 S f Server’, User ID = ‘Admin’. Намерения злоумышленника: IH, IS IO, RE UE ABE; GAR EP, GAD CD ID DOS CT CBD . IS, IO RE, UE, GAR, EP GAD, CD, ID, DOS, CT, Объект атаки: 1) для атак CD или ID: [Аккаунт,] [Процесс {<Имя процесса >/<Маска процесса>},] [Файл {<имя файла>/<маска файла>},] [Передаваемые данные {<имя файла (данных)>/<маска файла (данных)>}], 2) для всех атак: All (Все) – все ресурсы сети (хоста) (хоста), Anyone (Любой) – хотя бы один из ресурсов. Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  38. 38. Задание атак в виде формальных грамматик Математическая модель атак:MA = <{ Gi } , { Su }> ,где {G} – формальные грамматики, {Su} – операции подстановки. Последовательности символов (“слов”) генерируемые каждой из грамматик, ( слов ), грамматиксоответствуют последовательностям действий злоумышленника. Каждая грамматика Gi является в общем случае атрибутной стохастическойграмматикой:Gi = <VN , VT , S, P, A > ,где Gi – имя грамматики; VN – множество нетерминальных символов; VT – множествотерминальных символов; S  VN – аксиома грамматики; P – множество подстановок вида( ) X  ((U) (Prob), )где X  VN,   (VT VN)*, U – условие подстановки, Prob – вероятность выбора; A – множество атрибутов и алгоритмов их вычисления. р у рОперация подстановки Su(a) для грамматики G(a) имеет следующий вид:Su(a): {a G(a)}ЭтаЭ операция соответствует детализации описания сценария атак. Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  39. 39. Автоматная интерпретация атакСемейство взаимосвязанных автоматов задает алгоритм генерации атак, описанных в терминахформальных грамматик грамматик.Основные элементы автомата: (1) начальное, промежуточные и конечное состояния; (2) переходы из всех состояний за исключением состояния “End”. EndТипы промежуточных состояний: (1) нетерминальные (инициализирующие работу вложенных автоматов); (2) терминальные ( (взаимодействующие с моделью атакуемой сети – конкретные действия й й й злоумышленника).Переходы являются аналогами грамматических правил подстановки.Атрибуты состояний: (1) Rule – номер правила перехода; (2) P – вероятность выбора альтернативного перехода (из одного состояния); (3) K – коэффициент нормализации вероятностей (для рекурсивных правил K<1, для остальных правил, как правило, K=1); (4) State – состояние достигаемое при выполнении правила перехода; состояние, (5) Attributes – дополнительные атрибуты (информация о хосте или целой сети), передаваемые при переходе в новое состояние; (6) A ti Actions – действия, которые необходимо выполнить после перехода в состояние, выбранное й б б из таблицы переходов. Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  40. 40. Диаграмма взаимодействия автоматов A R P P I P P P P IH P IS P IO RE P UE P ABE GAR P EP P GAD P TR P CT P P CBD P P P P P P P CI EP_MSG GAD_MSG SPIH SPIS ENS IAUS RCE DCSR IBSD PSA CSS AVR CVR IVR UFPS RRM EKV ACE DSIH_MSG SPIS_MSG IO_MSG CI_MSG ENS_MSG RE_MSG UE_MSG ABE_MSG GAR_MSG CVR_MSG IVR_MSG CT_MSG CBD_MSG Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  41. 41. Пример автомата R (“Разведка”) (“Разведка”) R0) (1-12) IR11) R -> IH R1 (1)2) R -> IH R2 (7-12) 3) R-> IS R1 (2)10) R1-> IH R1 R1 > (1) IH 4) R-> IS R3 (7-12) IR1 – промежуточное состояние5) R-> IO R16) R-> IO R4 (3) (7-12) 11) R2-> IS R3 (7-12) IH – Определение12) R2-> IO R4 (7-12) IS 14) R1-> IS R1 (2) функционирующих7) R -> RE R1 (4) 15) R3-> IO R4 (7-12) хостов17) R1 -> IO R1 (3) IO 8) R -> UE R1 (5) IS – Определение служб хоста9) R -> ABE R1 (6) 18) R4 CI R5 (7-12) R4-> (7 12) IO – Определение ОС хоста р CI – Сбор дополнительной CI информации RE – Определение разделяемых20) R5 -> RE R6 (7-12) 13) R1 -> End (1)21) R1-> RE R1 (4) RE ресурсов16) R1 -> End (2) 22) R6-> UE R7 (7-12) UE – Определение групп и24) R1-> UE R1 (5) UE 19) R1 -> End (3) пользователей23) R1 -> End (4) 25) R7-> ABE R8 (7-12) ABE – Определение приложений и27) R1-> ABE R1 ) ( ) (6) ABE 26) R1 -> End (5) заголовков 28) R1 -> End (6) 29) R8-> End (7-12) Positive Hack Days 2012, Москва, 30-31 мая 2012 г. End
  42. 42. Интерфейс пользователя для задания задачи атаки Основные элементы спецификации атаки: 1) Намерение злоумышленника (1-12); 2) Адрес атакуемого хоста или сети; 3) Имеющаяся информация об атакуемом хосте; 4) Объект атаки (имя файла, файла идентификатор пользователя, ресурс и др.);Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  43. 43. Окно визуального представления развития атаки на макро-уровне макро-Спецификация задачи ц ф ц датакиДерево генерации атакиДДействиязлоумышленникаПризнак успеха (неуспеха)и данные, полученные отатакованного хоста(реакция хоста)( ) Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  44. 44. Обобщенная архитектура системы обнаружения вторжение (МСОВ) Интерфейс пользователя Хост S1 Х Хост T ХВходнойтрафик … Компоненты МСОВ Компоненты МСОВСообщение щСообщениеСообщениеСообщение… Компоненты МСОВ Компоненты МСОВ Хост S2 Х Хост F Х Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  45. 45. Архитектура компонентов МСОВ на хосте Компоненты МСОВ 1. 2. 3. От агентов 2 АIA хоста 1 6 AD-E 3 ACA IDA1 Архив 4 событий, б й AD–P1 7 зафиксированных IDA2 на хосте 5 Timer AD–P2 Хост S1 Интерфейс Хост F Хост T Хост S2 пользователя1., 2., 3. – уровни обработки; 1, 2, …, 7 – типы агентов. Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  46. 46. Функции базовых агентов МСОВ у AD-E (AD-Events) — предварительная обработка сообщений AD- AD- и фиксация значимых событий. AIA, ACA — идентификация источников сообщений и AIA, подтверждение их подлинности, регламентация доступа к ресурсам обнаружение и прерывание несанкционированных ресурсам, действий. AD-P1, AD-P2 (AD-Patterns) — обнаружение паттернов AD- AD- (AD- “подозрительных” событий или очевидных атак (например, finger, b ff overflow; port scanning, syn-flood) и реагирование fi buffer fl t i fl d) на данные события. IDA1, IDA2 — высокоуровневая обработка и обобщение IDA1 IDA2 обнаруженных событий (spoofing–атаки, распределенные многофазные атаки), прогнозирование последующих событий. Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  47. 47. Визуализация обмена сообщениями между агентами ду (в процессе обработки атаки Port Scanning) Scanning Msg 41 Msg 42 Msg 43Содержание сообщений в полной (на XML и сокращенной форме (агенты AD-E, AD-P2 XML) AD- AD-и IDA2 хоста S1 взаимодействуют посредством обмена сообщениями ## 41–43) Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  48. 48. План доклада Введение Многоагентный подход к построению киберармий Примеры реализаций агентов Особенности моделирования для задач защиты информации Подход к моделированию Среда моделирования р р Эксперименты Заключение Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  49. 49. Общие этапы моделирования для решения задач защиты информации Построение модели защищаемой системы Построение о е Пос рое е модели противника ( ар ро а (нарушителя) е ) Определение свойств компонентов защиты Моделирование и анализ выполнения этих свойств при реализации атак противника (нарушителя) Проверка р у р р результата моделирования д р  При данных допущениях о системе реализация атак не приведет к нарушению заданных свойств  Не существует “абсолютной” защищенности Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  50. 50. Метод явного учета нарушителя у руОписаниесистемы Формальная Модель защиты спецификация нарушителяОпределение Формальный анализ ошибки, / моделированиемодификация системы Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  51. 51. Фундаментальный компромисс между сложностью модели и ее адекватностью Модели абстрактны и сильно упрощены  Отдельные компоненты моделирования представляются, как правило как конечные автоматы правило,  Функции защиты, как правило, специфицируются как абстрактные типы данных р  Свойства защиты формулируются, как правило, как недостижимость “плохого” состояния  Существует множество методов анализа свойств, многие из них автоматизированы …, но не являются полностью достоверными  Доказательства в модели выполняются на основе ряда у р щ щ д ущ упрощающих допущений, которые игнорируют некоторые , р р ру р возможности нарушителя Атака в формальной или имитационной модели “влечет” реальную атаку Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  52. 52. Области использования моделирования для задач защиты информации Анализ влияния (Impact assessment) для определения, каким образом механизмы защиты воздействуют на защищаемую систему и ее целевые свойства (безопасность, производительность, надежность и др.) [D.Nicol, S.Smith, M.Zhao-04 ; S.Kent, C.Lynn, K.Seo- д др ) [ , , , y , 00 (Secure BGP); M.Zhao, S.Smith, D.Nicol-05; etc.] Эмуляция, при которой реальные и виртуальные компоненты у ц , р р р р у (“миры”) комбинируются для изучения взаимодействия между системами защиты и нарушителем и выявления уязвимостей системы защиты [G Bakos V Berk 02 (Worm activity by metering ICMP); [G.Bakos, V.Berk-02 M. Liljenstam et al-03 (Simulating worm traffic); etc.] Тренировки по реализации атак и сценарии обучения [M. Liljenstam et al-05 (RINSE); B. Brown et al-03; etc.] Анализ рисков базирующихся на известных уязвимостях и рисков, параметрах конфигурации системы [R. Ortalo, Y.Deswarte, M.Kaaniche-99; Sheyner et al-02; V.Gorodetski, I.Kotenko-02 (Attack ; y ; , ( Simulator); B.Madam, K.Goseva-Popstojanova-02; etc.] Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  53. 53. Компоненты, используемые при моделировании сетевых процессов (1/2) (1/2)• Топология. Типовых топологий локальных сетей не существует. Можно строить модель, используя древовидную топологию или на основе конкретной сети. Для моделирования Интернет-топологий применяются случайные графы, построенные на основе графы определенных функциональных зависимостей [Mahadevan et al., 05], [Mahadevan et al., 06]• Каналы передачи данных. Традиционно используются такие параметры как пропускная способность канала и задержка распространения сигнала• Протоколы. Для моделирования сетевых процессов необходимо моделирование большого числа протоколов Основными являются протоколов. протоколы сетевого и транспортного уровней. В ряде имитаторов сети (на пакетном уровне) присутствуют модели различных протоколов (однако затруднительно проверить их достоверность). Точность моделирования протоколов заметно отличается. При этом необходимо моделировать протоколы с точностью до отдельных пакетов пакетов, заголовков и управляющих флагов Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  54. 54. Компоненты, используемые при моделировании сетевых процессов (2/2) (2/2)• Приложения. Большинство приложений предлагается моделировать на уровне трафика, а отдельных, наиболее важных для исследования (модели вредоносных программ, исследуемых механизмов защиты) - на уровне логики работы• Трафик. Существует ряд подходов к генерации трафика: • генерация трафика приложений для имитации нагрузки канала связи • генерация трафика, используя моделирование на ур р ц р ф у д р уровне источника • генерация трафика с использованием структурной модели • генерация трафика на основе данных о поведении узлов на уровне их коммуникаций • использование для генерации записей реального трафика• Узлы. Узел определяется своим предназначением (роутер, свитч, хост и т.д.), содержит определенный стек протоколов и отличается тд ) набором установленных на нем приложений Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  55. 55. План доклада Введение Многоагентный подход к построению киберармий Особенности моделирования для задач защиты информации Подход к моделированию Среда моделирования Эксперименты р Заключение Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  56. 56. Основные положения подхода (1/2) 1/2 Кибернетическое противоборство представляется в виде р р р р взаимодействия различных команд программных агентов Процессы происходят в среде, задаваемой моделью Интернета Выделяются команды агентов атаки, защиты и пользователей Команды взаимодействуют между собой: противоборствуют, кооперируются, адаптируются Команда агентов-злоумышленников эволюционирует посредством генерации новых экземпляров и типов атак, а также сценариев их реализации с целью преодоления подсистемы защиты Команда агентов защиты адаптируется к действиям злоумышленников путем изменения исполняемой политики безопасности, формирования новых экземпляров механизмов и профилей защиты Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  57. 57. Основные положения подхода (2/2) (2/2 Цель команды агентов-злоумышленников состоит в определении уязвимостей и реализации угроз информационной безопасности посредством выполнения распределенных скоординированных атак Цель команды агентов защиты состоит в защите компьютерной сети и себя от атак Команда 1 Команда-1 Команда-2 Агенты противоборствующих команд соперничают для достижения противоположных намерений. Агенты одной команды Цель сотрудничают для достижения атаки общего намерения Команда-N Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  58. 58. Процедуры поддержки командной работы1. Процедуры обеспечения со асо а ос действий1 Про е р обес е е согласованности ейс й агентов в команде (группе, индивидуально) по некоторому общему плану2. Процедуры мониторинга и восстановления функциональности команды ( ф (группы, индивидуально) д д ) за счет переназначения “утерянных” ролей тем членам команды, команды которые в состоянии выполнить эту работу, работу или клонирования новых агентов3. Процедуры обеспечения селективности3 П б коммуникаций основываются на расчете важности того или иного сообщения с учетом его “стоимости” “стоимости”, возможности компрометации и выгоды, получаемой при этом Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  59. 59. Модель взаимодействия команд агентов Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  60. 60. Реализация сценариев (1/3) (1/3 Д Для выполнения экспериментов были реализованы: р р  сценарии функционирования бот-сети (включая сценарии распространения бот-сети, управления бот-сетью и реализации атак),  сценарии сдерживания бот-сети и противодействия атакам,  сценарии легитимной деятельности вычислительной сети. й й Сценарии распространения бот-сети:  сценарии поиска новых узлов, пригодных к компрометации,  их идентификации и последующей компрометации,  подключения инфицированных узлов в б ф бот-сеть. Сценарий распространения бот-сети, использованный в экспериментах, экспериментах основывается на модели распространения сетевого червя посредством эксплуатации уязвимости сетевых служб. После активации “уязвимого” сервиса служб уязвимого сервиса, компьютер считается зараженным. Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  61. 61. Основные параметры сценариев распространения (1/2) Транспортный протокол (Transport p р р р ( p protocol): TCP, UDP ) , Тип закрытия соединения (End of connection) (только для TCP):  Полное закрытие TCP-соединения  Неполное закрытие TCP-соединения Размер пакета (Packet size) Частота генерации пакетов (Scan speed) (число пакетов (соединений), (соединений) генерируемых в секунду) Изменение скорости сканирования (Scan speed variation). Скорость, Скорость с которой червь производит сканирование может быть постоянной или изменяться (в том числе случайным образом) Методика подмены сетевого адреса и порта (Address and port spoofing) Число используемых адресов (N b of addresses used) Ч (Number f dd d) Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  62. 62. Основные параметры сценариев распространения (2/2) Тип сканирования (Scan type) ( р р ( yp ) (стратегия сканирования р или методика выбора адреса узла- получателя и порта):  случайное сканирование (random-scanning)  последовательное сканирование (sequential- scanning)  частичное сканирование ( (partition-scanning) titi i )  локальное сканирование или сканирование на основе предпочтения локальных адресов (local- (local preference-scanning)  сканирование по хит-листам, т.е. по заранее хит листам, составленным спискам уязвимых узлов, которые содержат атакуемый сервис, необязательно уязвимый, после этого черви выполняют случайное й й сканирование (hitlist-scanning) … Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  63. 63. Реализация сценариев (2/3) (2Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  64. 64. Реализация сценариев (3/3) (3 Сценарий у р р управления задается процедурой отправки р ур р сообщения о статусе нового узла на сервер “командный центр” с последующим ожиданием поступления команд со стороны сервера. Одним из примеров р д р р реализованных сценариев атаки ц р бот-сети является атака вида UDP Flood, проводимая по отношению к некоторому узлу, IP-адрес которого указан в составе команды начала атаки. В настоящей работе р щ р реализовано несколько сценариев ц р сдерживания бот-сети и противодействия атакам:  без кооперации; р  с кооперацией типа DefCOM;  с кооперацией типа COSSACK;  с полной кооперацией. Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  65. 65. Команда атакиCattack  M , A Демон Цель Демон атакиЗлоумышленник Мастер DDoS … Демон  Атака DDoS: глобальная цель достигается скоординированными усилиями многих компонентов  “Демон (demon)” – исполнитель атаки  В начале работы посылает «мастеру» свой адрес и порт  “Мастер (master)” – координатор атаки  Составляет список работоспособных «демонов»  Получает команду атаки от злоумышленника  Посылает работоспособным «демонам» команду атаки: IP адрес и порт цели, интенсивность (пакетов в секунду) Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  66. 66. Команда защитыCdefense  S , D, F , L, I  f Фильтр Ограничитель Агент атаки Защищаемый узел Сэмплер Детектор Агент расследования Агент “сэмплер (sampler)” • Сбор модельных д р д данных д каждого у для д узла по сетевым пакетам • Выдача модельных данных на запрос «детектора» Агент “детектор (detector)” • Прием сообщения о работоспособности других агентов • Запрос данных от «сэмплеров» • Прием р р решения об атаке • Посылка сообщения со списком подозрительных узлов «фильтру» и агенту «расследования», директиву ограничивать трафик Агент «фильтр (filter) – прием данных от «детектора» и фильтрация фильтр (filter)» детектора Агент «ограничитель (limiter)» – ограничение трафика Агент «расследования (investigator)» – отслеживание источника р д ( g ) атаки и его обезвреживание Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  67. 67. Исследования по механизмам защиты от распространения Разработаны р р различные механизмы, основанные на , ограничении скорости (интенсивности) установления сетевых соединений (“Rate Limiting”). Вильямсон [Williamson, 02-1] предлагает ограничивать число различных IP-соединений конечного узла. Чен Ч и др. [Ch et al., 04 2] и Ш [Chen t l 04-2] Шехтер и др. [S h ht et al., [Schechter t l 04] применяют ограничения к узлам, которые демонстрируют большое количество незавершенных или неустановленных (failed) соединений. Вонг и др. [Wong et al., 05] предлагают использовать др [ g , ] р д механизмы “Rate Limiting”, основанные на DNS- статистике. … Обзор работ - Котенко И.В. Автоматическое обнаружение и сдерживание распространения Интернет-червей: краткий анализ Интернет червей: современных исследований // Защита информации. Инсайд, № 4, 2007. С.46-56. Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  68. 68. Метрики для обнаружения бот-сетей (1/3) бот- (1/3) Отклик Синхронизация Бот C&C Бот Объект Master атаки Бот ОтношенияВозможная интерпретация: Отношение – количество активных клиентов в канале (IRC) ( ) Отклик – время отклика клиентов на запрос Синхронизация – синхронизм трафика, посланного клиентами [Akiyama, etc., 2007] Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  69. 69. Метрики для обнаружения бот-сетей (2/3) бот- Отклик [Akiyama, etc., 2007]Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  70. 70. Метрики для обнаружения бот-сетей (3/3) бот- Синхронизированный трафик IRC- р ф бот- IRC-трафик бот-сети IRC- IRC-трафик обычных пользователей й [Akiyama, etc., 2007]Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
  71. 71. Примеры методов обнаружения вредоносного трафика Hop counts Filtering (HCF): заключается в формировании таблиц p g( ) ф р р ц подсетей и количества скачков до них. Предполагается, что пакеты из одной и той же сети проходят от отправителя до получателя одинаковое количество хопов ( д (скачков). Вначале составляется ) таблица, в которой узлы группируются по количеству хопов. При обнаружении атаки система, реализующая HCF, вычисляет количество хопов пришедшего пакета и сравнивает его с табличным значением. Source IP address monitoring (SIPM): используется предположение, что во время атаки появляется большое количество новых адресов р др клиентов. Вначале производится формирование базы IP-адресов “легитимных” клиентов. В реальном времени система собирает статистику по пакетам – количество новых для системы IP-адресов за заданные отрезки времени. Е Если эта величина остается в пределах нормы, то новые адреса заносятся в базу, если нет – осуществляется фильтрация. Bit Per Second (BPS): позволяет обнаружить атакующих по превышению порога нормального трафика. Вначале определяется «допустимый» порог для трафика на основе запросов легитимных клиентов. Positive Hack Days 2012, Москва, 30-31 мая 2012 г.

×