Архитектура интеллектуальной системы анализа защищенности

Архитектура разработанной интеллектуальной системы анализа защищенности компьютерных сетей приведена на рис. 1. На этапе проектирования, САЗ оперирует с моделью анализируемой компьютерной сети (системы), которая базируется на заданных спецификациях анализируемой сети и политики безопасности. На этапе эксплуатации для построения модели анализируемой сети используется подсистема сбора информации об анализируемой компьютерной сети.

Модуль интерфейса пользователя позволяет пользователю управлять работой всех компонентов системы, задавать входные данные, просматривать отчеты по анализу защищенности и т. п.

Хранилище данных и знаний состоит из следующих групп баз данных (БД): (1) группа БД о конфигурации анализируемой компьютерной сети и используемой политике безопасности (NetworkModel); (2) группа БД атакующих действий (Attacks).

Группа БД об анализируемой компьютерной сети состоит из следующих баз: (1) БД о конфигурации сети; (2) БД о политике безопасности, реализуемой в сети; (3) БД нарушителя о конфигурации сети; (4) БД нарушителя о политике безопасности, реализуемой в сети. Структурно данные базы данных попарно совпадают (базы о конфигурации сети и реализуемой в ней политике безопасности соответственно) и содержат информацию об архитектуре сети (например, типы и версии используемых операционных систем, приложений, список открытых портов и т. п.) и правил, описывающих функционирование сети. БД о конфигурации сети является внутренним представлением спецификации анализируемой сети, которое используется для определения результатов выполнения атакующих действий во время построения общего графа атак. БД нарушителя о конфигурации анализируемой сети является ее внутренним представлением (так, как ее представляет себе нарушитель). Данное представление является результатом выполнения последовательности атакующих действий. БД о политике безопасности, реализуемой в анализируемой сети, содержит общие правила, описывающие функционирование сети, например, «локальные пользователи хоста не могут запускать приложение «. На основе БД нарушителя о политике безопасности возможно планирование последовательности выполняемых нарушителем действий (например, если согласно политике безопасности только локальные администраторы могут читать файл, тогда нарушитель должен получить эти права, т. е. должен реализовать некоторую последовательность действий, направленных на получение прав администратора).

Группа баз данных атакующих действий состоит из следующих баз: (1) БД действий, использующих уязвимости; (2) БД разведывательных действий. БД действий, использующих уязвимости (в отличие от других баз данной группы) строится на основе внешней базы данных уязвимостей. Атакующие действия в данной базе делятся на следующие группы: (1) действия, направленные на получение прав локального пользователя; (2) действия, направленные на получение прав администратора; (3) действия, направленные на нарушение конфиденциальности, (4) целостности и (5) доступности. БД разведывательных действий содержит действия, направленные на удаленное получение информации о хосте или сети. Описание разведывательных действий не содержится во внешних базах уязвимостей. Информацию о методах и средствах реализации нарушителем разведывательных действий можно получить лишь экспертным путем.

NetworkModel Initialization преобразует информацию о конфигурации сети и реализуемой в ней политике безопасности, задаваемых пользователем (эта информация задается при помощи специализированных языков System Description Language (SDL) и Security Policy Language (SPL)) во внутреннее представление.

DataControl используется для обнаружения некорректно заданных или отсутствия необходимых для процесса анализа защищенности данных. Например, пользователь может ввести ошибочное имя сервиса или указать, что порт 21 открыт, но не определить какое приложение обрабатывает поступающие на данный порт запросы.

GraphBuilder строит общий граф атак, эмулируя действия нарушителя в анализируемой компьютерной сети и используя информацию о доступных атакующих действиях различных типов (атакующие действия, использующие уязвимости, разведывательные действия, обычные действия легитимных пользователей), о конфигурации сети и реализуемой в ней политике безопасности. Данный модуль расставляет в вершинах графа метрики защищенности базовых объектов, на основе которых GraphAnalyzer рассчитывает метрики составных объектов.

ReportGenerator служит для агрегации полученных в процессе анализа защищенности данных (информации об обнаруженных уязвимостях, рекомендаций по повышению уровня защищенности) и формирования на их основе единого отчета.

Подсистема сбора информации служит для сбора информации от программных хостовых агентов и формирования на основе данной информации спецификаций, описывающих конфигурацию сети и реализуемую в ней политику безопасности. Хостовые программные агенты используются для сбора необходимых для создания модели анализируемой компьютерной сети данных. Так, например, данные агенты могут реализовывать анализ конфигурационных файлов операционной системы и различных программных средств. InformCollector служит для сбора информации, поступающей от хостовых агентов, ее представления на SDL и SPL и ее передачи компонентам САЗ (модулю NetworkModel Initialization).