Помощь в написании студенческих работ
Антистрессовый сервис

Разработка и исследования математической модели удаленной атаки типа «подмена доверенного субъекта ТСР-соединения» с целью построения эффективного механизма защиты элементов компьютерной сети

Диссертация: Разработка и исследования математической модели удаленной атаки типа «подмена доверенного субъекта ТСР-соединения» с целью построения эффективного механизма защиты элементов компьютерной сети
ДиссертацияПомощь в написанииУзнать стоимостьмоей работы

Характеризуя практическую ценность диссертационной работы, следует сказать, что разработанные математические модели могут быть без изменений использованы для" построения системы обнаружения удаленной сетевой атаки выбранного типа после уточнения параметров используемой операционной системы и статистических характеристик защищаемого фрагмента и организации защиты узлов компьютерной сети. Выводы… Читать ещё >

Разработка и исследования математической модели удаленной атаки типа «подмена доверенного субъекта ТСР-соединения» с целью построения эффективного механизма защиты элементов компьютерной сети (реферат, курсовая, диплом, контрольная)

Содержание

  • Глава 1. Выбор предмета исследования
    • 1. 1. Понятие удаленной атаки на хосты Internet
    • 1. 2. Особенности удаленных атак
    • 1. 3. Классификация удаленных атак
      • 1. 3. 1. Анализ сетевого трафика
      • 1. 3. 2. Подмена доверенного объекта или субъекта распределенной вычислительной системы
      • 1. 3. 3. Ложный объект распределенной вычислительной системы
      • 1. 3. 4. Отказ в обслуживании или атаки DoS (Denial of
  • Service)
    • 1. 4. Выводы
  • Глава 2. Содержательная постановка задачи
    • 2. 1. Схема установки ТСР-соединения
    • 2. 2. Определение начального значения идентификатора ТСР-соединения
    • 2. 3. TCP SYN flood
    • 2. 4. Схема типовой удаленной атаки типа «Подмена доверенного субъекта ТСР-соединения»
    • 2. 5. Подготовка к атаке. Измерение статистических параметров сети
  • Глава 3. Формальная постановка задачи
    • 3. 1. Этап разведки
    • 3. 2. Построение математической модели атаки
    • 3. 3. Вероятность успешности атаки при использовании различных статистических моделей
    • 3. 4. Выводы
  • Глава 4. Возможные практические реализации разработанного формального аппарата
    • 4. 1. Алгоритм обнаружения атаки
      • 4. 1. 1. Имитация действий хакера
      • 4. 1. 2. Функции сервера
      • 4. 1. 3. Интерфейс
  • приложения
    • 4. 2. Возможный способ предотвращения атаки
    • 4. 3. Выводы
  • Заключение 78 Библиография

Данная диссертационная работа посвящена построению формального аппарата для создания средств обнаружения удаленных атак на узлы глобальных компьютерных сетей на этапе их исполнения и разработки принципов построения защиты от подобного рода атак.

Необходимость постоянной заботы о создании и совершенствовании средств защиты сети и информации в ней" содержащейся общепризнанна [2, 12, 50 — 55]. Проблема же создания инструментов рассмотренного в диссертационной работе типа, возникла в связи с тем, что все существующие в настоящее время средства защиты. компьютерной сети от атак, какого угодно класса, основаны либо на превентивных запретительных мерах, либо на апостериорных оценках событий [6, 7, 40], приведших к нарушению нормальной работы сети [38, 39]. Эти меры, ограничивая возможности^ пользователям сети и, создавая * тем самым, некоторые для них неудобства, позволяют, в большинстве случаев, узнать об’имевшей, 1 место удаленной атаке на охраняемый сервер, иногда — установить ее источник [1- 8, 9, 21]. Так, например, наиболее близкой к рассмотренному в данной работе способу защиты узлов компьютерной сети, является система для наблюдения за компьютерной сетью, описанная в патенте ив 5,796,942. Эта система, предназначенная для наблюдения за компьютерной сетью независимо от сетевого сервера, содержит:

— сетевой драйвер для сбора данных в сети, которые не обязательно адресованы системе сетевого наблюдения;

— управляющий процесс для получения данных от сетевого драйвера и хранения указанных данных в реальном времени;

— множество файлов записи для получения и хранения данных до последующей обработки;

— процесс сканирования для назначения одного из указанного множества файлов записи в качестве получающего файла при чтении данных других файлов, из множества файлов записи и для использования указанных данных, чтобы воссоздать множество потоков данных в сеансах сетевых соединений, причемI указанные потоки, данных в сетевых соединениях обеспечивают последовательную, реконструкцию сетевого трафика данных, организованного в сеансе сетевого соединения;

— сканер сеанса для чтения данных в интервале одного* из указанного множества сеансов сетевых соединений;

— набор правил выявления стереотипов данных, которые, будучи обнаружены, вызовут включение сигнала тревоги;

— средства для определенных ответных действий в случае выявления данных, соответствующих заданным правилам.

Эта система для наблюдения за. компьютерной * сетью, ориентирована на тотальный контроль сетевого трафика данных в> локальных вычислительных сетях, в первую очередь — для, наблюдения за поведением легальных пользователей этих сетей. Как следует из формулы патента, для обнаружения попыток несанкционированного доступа к ресурсам абонентов компьютерной сети, система обеспечивает реконструкцию потоков данных, передаваемых в сеансах сетевых соединений, иг последовательное чтение данных, передаваемых в различных сеансах сетевых соединений, причем проверке в соответствии с набором правил, выполняемой для выявления попыток несанкционированного доступа к ресурсам абонентов, подвергаются непосредственно сами передаваемые данные.

Кроме того, система предъявляет для своей реализации довольно высокие требования к используемому оборудованию.

Систем же, способных в режиме реального времени анализировать ситуацию, идентифицировать ее как, возможно, нештатную и предоставляющих возможность мгновенной на нее реакции, по результатам патентного поиска, проведенного в 2000 году и судя по материалам открытой печати в последующие годы, нет [31].

Такими соображениями аргументирована актуальность рассмотренной в диссертации проблемы.

Для решения поставленной в диссертационной* работе задачи, была построенаматематическая модель оптимального поведения интервента при организации атаки, делающего успех атаки наиболее вероятным. А тогда" системы защиты от атаки строится на отслеживании создания условий, ее успешности, что позволяет немедленную на нее реакцию и, таким образом — защиту в реальном времени, либо намеренном искажении ситуации в сети для того, чтоб условия успешной атаки не могли быть созданы. Научная новизна работы заключается в:

— разработке математической' модели удаленной сетевой атаки, позволяющей создание на ее основе инструментальных средств обнаружения нештатной ситуации выбранного для исследования типа и защиты узлов компьютерной сети;

— алгоритмической реализации средств защиты сети на основе разработанного математического аппарата.

Характеризуя практическую ценность диссертационной работы, следует сказать, что разработанные математические модели могут быть без изменений использованы для" построения системы обнаружения удаленной сетевой атаки выбранного типа после уточнения параметров используемой операционной системы и статистических характеристик защищаемого фрагмента и организации защиты узлов компьютерной сети. Выводы, сделанные после обсуждения разработанного формализма, могут быть без труда использованы для обоснованного предложения другихпревентивных — мер защиты сети.

Первая глава диссертации посвящена обоснованию выбора класса атак, для которых строится зашита. В этом разделе работы приведен подробный анализ классов удаленных атак на узлы компьютерной сети, причем, классификация проводится с различных точек зрения на проблему безопасности сети. Из всего множества удаленных атак для более подробного изучения былавыбран класс, известный как удаленная атака «Подмена одного из субъектов TCP-соединения в сети Internet (hijacking)», схема которой впервыебыла использована, Кевином Митником для атаки на’Суперкомпьютерный центр в" Сан-Диего 12 декабря 1994' года. Показано, во-первых, что опасность атаки по данной схеме по-прежнему? реальна и в настоящее время. Во-вторых, это один из тех классов" атак, для которых, в принципе возможно построение системы защиты в реальном времени. Поэтому в данной работе уделено особое внимание механизму реализации атаки, а также особенностям идентификации пакетов в существующей реализации TCP (Transmission Control Protocol), послужившим причиной возникновения атак подобного рода. В этом же разделе работы определены основные понятия, которыми оперирует теория компьютерной безопасности, описаны типы удаленных атак и причины их возникновения.

Во второй главе работы детально рассмотрена схема удаленной атаки «Подмена одного из субъектов TCP-соединения в сети Internet (hijacking)», нормальная работа фрагмента сети в соответствии с TCP/IP протоколом и особенности протокола, позволившие организацию удаленной сетевой атаки. Рассматриваются все фазы атаки — предварительный' анализ характеристики системы-жертвы, особенности и важность разведывательной акции, непосредственно предшествующей нападению, особенности поведения интервента при исполнении атаки. Т. е., вторая, глава посвящена неформальной, содержательной постановке задачи.

Следующая, третья глава диссертации посвящена формальному рассмотрению задачи построения модели удаленной сетевой атаки, позволяющей разработать эффективную защиту атакуемого. хоста. Рассматриваются раздельно две фазы атаки — фазы разведки и фазы собственноатаки. Строится формальная модель, позволяющая судить о вероятности успеха всего комплекса атакующих мероприятий, и, таким образом, выяснение• условий, которые должны вызывать реакцию защищаемого сервера.*.

В этом" же разделе работы состоятельность разработанного аппарата иллюстрируется возможными! реализациямиэкспоненциальным равномерным распределением! статистических характеристик сети [4, 5,24, 25, 35].

Четвертая" глава посвящена описанию возможных реализаций созданного инструментария, их пользовательский интерфейс. Содержание главы можно воспринимать и как имеющую, в некотором смысле, иллюстративный характер.

Результаты работы переданы НПО РТК для обеспечения одной из функций разработанного в этой организации сетевого фильтра.

Основные результаты работы представлялись на международной конференции в июне 2003 года: Seventh Int. Workshop on New approches to Hiigh-Tech: Nondestructive Testing and Computer Simulations in Science and Engineering. Vol.7, pp. F21−23. и конференции «Математика и безопасность информационных технологий (МаБИТ-03)», МГУ им. М. В. Ломоносова, 23−24 октября 2003 г.

По материалам диссертации опубликовано шесть работ, в том числе — две статьи и тезисы докладов на четырех международных и общероссийских конференциях.

Структура и объем диссертации

: работа состоит из введения, четырех глав, заключения и библиографии, включающей 66 наименований. Объем диссертации 86 страниц. В работе приведено 36 рисунков.

4.3. Выводы.

Таким образом, предложен достаточно простой и легко реализуемый способ защиты от предполагаемой атаки, приведена оценка его эффективности. От администратора локальной сети, в случае, если, например, будет выбрана вторая реализация разработанного подхода защиты сети, потребуется только подобрать оптимальным образом параметр Ь, который, с одной стороны, обеспечивал бы достаточно эффективную защиту от взлома, и, с другой стороны, приемлемую скорость работы сети.

Заключение

.

Разработанная математическая модель типовой удаленной атаки по схеме «Подмена одного из субъектов TCP-соединения в сети Internet (hijacking)» позволила установить зависимость вероятности удачной атаки от параметров — интервала времени между отправкой первой и второй атакующих серий пакетов, общего времени атаки, времени между этапом разведки и началом атаки, параметрами атаки, — которыми может манипулировать хакер. Используя численные значения параметров, были построены графики этих зависимостей. Этот иллюстрационный материал позволил наглядно определить численный интервал, в котором должны находиться параметры, чтобы обеспечить максимально возможную вероятность удачной атаки.

Чтобы применить полученные результаты для анализа возможности атаки по схеме «Подмена одного из субъектов ТСР-соединения в сети Internet (hijacking)» на какой-либо определенный узел компьютерной сети, необходимо определить соответствующие параметры объекта атаки и его окружения, а затем воспользоваться полученными в данной работе формулами.

Результатом изучения механизма атаки по схеме «Подмена одного из субъектов TCP-соединения в сети Internet (hijacking)» и построения ее математической модели стало определение двух слабых сторон этого класса атак. Предложены варианты защиты от атаки, основывающиеся на этих слабостях.

Предсказуемость действий интервента позволила предложить алгоритм обнаружения атаки на ранних стадиях возникновения^ нештатной ситуации и своевременной на нее реакции. Для иллюстрации работоспособности предложенного алгоритма и жизнеспособности разработанной математической модели ситуации, было разработано клиент-серверное приложение, позволяющее сымитировать действия хакера при осуществлении нападения по схеме «Подмена одного из субъектов TCP-соединения в сети Internet (hijacking)» и организовать защиту от подобного рода нападений.

Даны практические рекомендации по последующему установлению источника зарегистрированной опасности.

Необходимая для успешной атаки предсказуемость атакуемой сети позволила предложить простой и надежный способ защиты, правда, несколько снижающий скорость работы сети. Проведены расчеты максимальной вероятности успеха атаки в зависимости от выбранного параметра.

Заметим, что разработанные средства защиты, их эксплуатация не предполагает никаких особых требований ни к аппаратным средствам вычислительной системы, ни к ее программному обеспечению.

Для повышения защищенности системы, на этапе инсталяции средств защиты следует отказаться от предположения, что защищаемые объекты находятся в среде со «средними» характеристиками, и провести численные эксперименты с целью сбора статистического материала для уточнения характеристик сети и ее окружения. После этого уточняются использованные в модели атаки параметры.

Показать весь текст

Список литературы

  1. А. В. Велихов, К. С. Строчников, Б. К. Леонтьев, Компьютерные сети. Учебное пособие по администрированию локальных и объединенных сетей, Изд. «Познавательная книга плюс», 2003
  2. Александр Макаров, Теория и практика хакерских атак, Изд. «Альянс-пресс», 2003
  3. Алексей Лукацкий, Обнаружение атак, СПб, «БХВ-Петербург», 2003
  4. В. М. Фомичев, Дискретная математика и криптология. Курс лекций, Изд. «Диалог-МИФИ», 2003
  5. A.A., Математическая статистика. Оценка параметров, проверка гипотез, М., «Наука», 1984
  6. Виктор Дымов, Хакинг и фрикинг. Хитрости, трюки и секреты, Изд. «Майор», 2002
  7. В., Першин А. Безопасность электронных банковских систем., Изд. «Единая Европа», 1994.
  8. Дмитрий Скляров, Искусство защиты и взлома информации, СПб, 2004
  9. В. «Криптография от папируса до компьютера», Москва, Изд. «ABF», 1996
  10. И. Медведовский, П. Семьянов, В. Платонов Атака через Internet Под ред. Зегжды П. Д., Изд. «Мир и семья-95″ 1997.
  11. К.Касперский Техника сетевых атак. Приемы противодействия. Том 1., М: „Солон“, 2001 г,
  12. С., Уразметов В., Internet. Среда обитания11 информационного общества, Российский Центр Физико-Технической Информатики, 1995.
  13. Левин М., Email „безопасная“: Взлом, „спам“ и „хакерские“ атаки на системы электронной почты Internet., Изд. „Майор“, 2002
  14. М., Библия хакера 2., в 2 кн., Изд. „Майор“, 2003
  15. В. С. и др. Безопасность компьютерных сетей на основе Windows NT. М.: Издательский отдел „Русская редакция“, 1998
  16. И.Д., Семьянов П. В., Леонов Д. Г. Атака на INTERNET., Изд. „ДМК“, 1999 г.
  17. Михаил Фленов, Программирование в Delphi глазами хакера, СПб, Изд. „БХВ-Петербург“, 2003
  18. В.Б. Наумов, Право и Интернет: очерки теории и практики., Изд. Книжный дом „Университет“, 2002,
  19. О. Ю. Гаценко Защита информации, Изд. „Сентябрь“, 2001
  20. Ф.А., Быстро и легко осваиваем работу в сети Интернет., Изд. „Лучшие книт“, 2003
  21. А. Г. Элементы Криптологии, Изд. СПбГТУ
  22. Ю. А. Протоколы и ресурсы Internet. М.: Изд. „Радио и связь“, 1996. — 320 с.
  23. Теория и практика обеспечения информационной безопасности, под редакцией Зегжды П. Д., Изд. „Яхтсмен“, 1996.
  24. В. Введение в теорию вероятностей и ее приложения, т. 2, Москва, Изд. „Мир“, 1984
  25. Н.В., Дудин-Барковский И.В., Курс теории вероятностей и математической статистики., М., „Наука“, 1965
  26. Ю.Н., Макаров А. Т., Анализ данных на компьютере, М., „Инфра-М“, 1955
  27. Ю. Новиков, Д. Новиков, А. Черепанов, В. Чуркин4'* Компьютеры, сети, Интернет., Энциклопедия, Изд. „Питер“, 2003
  28. Microsoft Internet Security and Acceleration Server 2000. Учебный курс MCSE /MCSE Training Kit. Microsoft Internet Security and Acceleration Server 2000/, Русская редакция, 2002
  29. Брайан Хатч, Джеймс Ли, Джордж Курц, Секреты хакеров. Безопасность Linux готовые решения./Hacking Linux Exposed: Linux Security Secrets & Solutions/, Второе издание, „Вильяме“, 2004
  30. Н., Алгоритмы + структуры данных = программы. М., „Мир“, 1984
  31. К.Дж., Шема М., Джонсон Б. С., Анти-хакер: Средства защиты компьютерных сетей + CD: Перевод с английского. Изд. „ЭКОМ“ 2003
  32. Дэвид Стенг, Сильвия Мун, „Секреты безопасности сетей“, Киев, „Диалектика“, 1996
  33. Э. Камер, Сети TCP/IP. Том 1. Принципы, протоколы и структура, Изд. „Вильяме“, 2003
  34. М., Моран П. „Геометрические вероятности“, Москва, „Наука“, 1972
  35. М., Стюарт А., Теория распределений, (пер с англ.), М., „Наука“, 1966
  36. Мак-Клар, Стюарт, Скембрей, Джоел, Курц, Джордж. Секреты хакеров. Безопасность сетей готовые решения. 2-е издание.: Пер. с англ. — М., 2001.
  37. Д. Стандарты и протоколы Интернета (Перевод с англ.) М.: Издательский отдел „Русская редакция“ ТОО „Channel Trading Ltd“, 1999.
  38. Скотт Бармен, Разработка правил информационной безопасности /Writing Information Security Policies/, „Вильяме“, 2002
  39. Тим Паркер, Каранжит Сиян, TCP/IP для профессионалов ЯСР/IP. Unleashed/, „Питер“, 2004
  40. Э. Таненбаум, М. ван Стеен, Распределенные системы. Принципы и парадигмы /Disrtibuted Systems. Principles and Paradigms/, „Питер“, 2003
  41. У. Ричард Стивене, Протоколы TCP/IP. Практическое руководстве /TCP/IP Illustrated, volume 1. The Protocols/, „БХВ-Петербург“, 2003
  42. Иван Карташев, Крупнейшая атака на корневые DNS-серверы за всю историю интернета, httD://www.compulenta.ru/2002/10/23/34 876/. Compulenta.Ru, 23.10,02
  43. В Сети появился живой хит-парад самых страшных „дыр“, http://www.cnews.ru/newtop/index.shtml72003/08/06/147 141. Cnews.ru, 06.08.2003
  44. Виртуальный* терроризм: угроза нового времени» http://www.cnews.ru/newtop/index.shtml72004/02/02/154 507.http://www.cnews.ru/newtop/index Cnews.ru, 08.10.2003
  45. Павел Арефьев, Распределенная DoS-атака по телефону, http://www.compulenta.ru/2003/12/11/43 907/. Compulenta.Ru, 11.12.2003 г.
  46. Роман Боровко, Россия: число преступлений в ИТ-сфере удвоилось за год" http://www.cnews.ru/newcom/index.shtml72004/01/29/154 372. Cnews.ru, 29.01.2004
  47. Сетевые атаки становятся жестче и быстрее, http://www. rusmedianet.ru/index. php? id=614. RusMediaNet, 20.11.2003
  48. США беззащитны перед угрозой кибертерроризма?, http://www. en ews. ru/n ewto p/in d ex. shtm172003/12/04/152 636. Cnews.ru, 12.04.2003
  49. Хакеры мстят США за Саддама, http://www.cnews.ru/newcom/index.shtml72004/01/13/153 700. Cnews.ru, 13.01.2004
  50. Хакеры нашли изъян в Windows 2000 раньше Microsoft, http://lenta.ru/internet/2003/03/18/software/, Lenta.Ru, 18.03.2003
  51. Хакеры попытались парализовать работу маршрутизаторов в США, http://lenta.ru/internet/2003/07/19/router/, Lenta.Ru, 19.07.2003
  52. Dina Bass / Bloomberg News, Microsoft says hacker’s attack knocked out Web site for 2 hours, http://www.detnews.com/2003/technoloqy/0308/04/technoloqv-234 860.htm, DetNews.com, 04.08.2003
  53. Сайт компании CERT (Центр реагирования на компьютерные инциденты) http://www.cert.org/58.. Сайт института по подготовке специалистов в области компьютерной безопасности SANS SANS (SysAdmin, Audit, Network, Security) http://www.sans.org/
  54. Postel J. Transmission Control Protocol. RFC793. http://www.rfc-editor.org/rfc/rfc793.txt
  55. G.R.Grimmet, D.R.Stirzaker, Probability and Random Processes S.E. // Clarendon Press. Oxford. 1992.
Заполнить форму текущей работой

Сессия? Спокойно!