Применение многоагентного подхода для полунатурного моделирования злоумышленных воздействий
Автор: Умницын Михаил Юрьевич
Журнал: НБИ технологии @nbi-technologies
Рубрика: Технические инновации
Статья в выпуске: 5, 2011 года.
Бесплатный доступ
Предлагается подход к анализу защищенности информационных систем от злоумышленных воздействий, основанный на применении многоагентных систем с предварительным моделированием сценариев поведения злоумышленника посредством формальной верификации моделей.
Информационная система, имитационное моделирование, многоагентная система, верификация моделей, сценарии злоумышленника
Короткий адрес: https://sciup.org/14968194
IDR: 14968194
Текст научной статьи Применение многоагентного подхода для полунатурного моделирования злоумышленных воздействий
Современные информационные системы обладают высокой структурной сложностью. Наличие уязвимостей в этих системах, а также вариативность и сложность злоумышленных воздействий вкупе с серьезностью последствий их успешной реализации обусловливают важность разработки методов и средств, позволяющих оценивать защищенность от таких воздействий.
Основная часть проблем, возникающих при проведении оценок, вызвана недостаточной проработанностью подходов к построению устойчивых моделей интегрированных адаптивных систем защиты, функционирующих в распределенных средах.
Предлагается подход к анализу защищенности информационных систем от злоумышленных воздействий, основанный на применении многоагентных систем с предварительным моделированием сценариев поведения злоумышленника посредством формальной верификации моделей.
Для построения сценариев проводится предварительное моделирование поведения информационной системы. Модель ИС представляется тройкой объектов:
где – множество объектов ин формационной системы;
– множество уязвимостей;
– множество ресурсов ИС, найденных при исследовании информационной системы.
Множество объектов ИС представляется следующим образом:
где – множество хостов ИС;
– множество компонентов ИС, функционирую-щих в ней.
Каждый компонент в терминах модели Крипке [1] представляется как
. (3)
Хост определяется как объединение компонент с учетом их взаимосвязей.
Уязвимости представляются как:
, (4)
где id – идентификатор уязвимости;
desc – описание уязвимости;
action – правила эксплуатации уязвимости;
SF – множество предусловий;
PF – множество постусловий;
Vexploit – сложность эксплуатации уязвимости.
Процесс эксплуатации уязвимости выражается как перевод компонентов информационной системы из одного состояния в другое. Множество уязвимостей формирует базу данных уязвимостей.
Под ресурсами Res понимается циркулирующая в ИС информация. Ресурсы непосредственно не моделируются – они представляются как множество состояний, в которых производится несанкционированное воздействие по отношению к информации, циркулирующей в информационной системе: базам данных, документам, правам доступа, настройкам служб.
Ресурс определяется как:
reS i = ( id, S ‘ , C , R д ) , (5)
где id – идентификатор (название) ресурса;
S' - подмножество состояний, в которых нарушитель осуществляет доступ к ресурсу;
C – стоимость ресурса (количественная оценка ущерба), в случае несанкционированного доступа к ресурсу;
R Д – допустимый риск.
Сценарий злоумышленника представляется в виде четверки:
Г = ( id , S , R , Р у_Сц ) , (6)
где id – идентификатор сценария;
S – множество состояний информационной системы в сценарии;
R – множество дуг между состояниями;
P у.сц – вероятность выбора данного сценария.
Множество сценариев Tr = { tri } – результат верификации модели информационной системы М ИС при заданных целях злоумышленника. Цели злоумышленника определяются в терминах темпоральных логик CTL или LTL [1].
Множество сценариев именуется библиотекой сценариев и хранится в виде XML-файла. Библиотека сценариев легко интерпретируется в виде графа (см. рис. 1).
Для формализации модели ИС и целей злоумышленников, а также последующей ее верификации и построения сценариев используется средство верификации моделей NuSMV. Считается, что все сценарии независимые.
В качестве многоагентной среды для имитационного моделирования выбрана среда Jason, реализующего модель Belief-Desire-Intention (BDI). Основным языком реализации агентов является AgentSpeak, наследующий и развивающий программный каркас Procedural Reasoning System (PRS) [2; 3].
Достоинством данной среды является то, что агенты могут функционировать в любом окружении (Environment). Данное свойство реализуется одноименным суперклассом. Оно позволяет агенту взаимодействовать как с виртуальным окружением (функционирующим в рамках среды Jason), так и с реальным компонентом (посредством Java API).

Рис. 1. Граф библиотеки сценариев агентов-злоумышленников
Для имитации злоумышленных воздействий, соответствующих заданной библиотеке сценариев, предлагается использовать два типа агентов:
-
- { tig7””"" ® '} — множество агентов, которым известны сценарии воздействий на информационную систему (то есть последовательность посещаемых вершин графа, стратегия); они выполняют мониторинг состояния информационной системы, определяют, какой вершине соответствует текущее состояние и отдают приказы агентам второго множества на эксплуатацию уязвимостей для перевода системы в состояние, соответствующее одной из следующих вершин графа;
- { ag7"" " } - множество агентов, которым известны тактики эксплуатации уязвимостей (то есть последовательность действий, приводящих к переходу в следующую вершину графа), но представления о стратегии злоумышленного воздействия на информационную систему они не имеют.
Для управления ходом имитации, а также для оценки результатов злоумышленных воздействий в многоагентную систему введен специальный мастер-агент, обладающий сведениями о рисках, связанных с каждым из сценариев.
Архитектура многоагентного комплекса представлена на рисунке 2.
В составе многоагентной системы выделяются следующие компоненты:
-
- Коммутатор, к которому подключаются агенты-злоумышленники, входящие в состав модуля имитации злоумышленных воздействий, а также модуль виртуальных компонентов и шлюз связи с информационной системой. Блок коммутации, используя информацию, расположенную в таблице коммутации, выполняет пересылку сообщений между портами коммутатора.
-
- Модуль виртуальных компонентов информационной системы – является основой для обеспечения полунатурного подхода при имитации злоумышленных воздействий. Он содержит модели тех элементов информационной системы, на которых в процессе имитации могут выполняться деструктивные, разрушающие воздействия.
Рис. 2. Архитектура многоагентной системы
М.Ю. Умницын. Применение многоагентного подхода для полунатурного моделирования
-
- Шлюз связи. Он предназначен для пересылки сообщений, идущих от агентов-злоумышленников к информационной системе и обратно: модуль играет роль моста, связующего многоагентную систему с информационной системой.
Одно из достоинств выбранного многоагентного средства состоит в том, что агенты могут работать в двух режимах: в режиме имитации взаимодействия с ИС, в режиме непосредственного взаимодействия с ИС. В рамках проверки модели для полу-натурного режима были построены автоматы, описывающие процессы функционирования системы обнаружения вторжений. При наличии в информационной системе виртуального средства защиты агентам-злоумышленникам не удалось получить доступа к требуемым ресурсам.
Однако использование данного подхода, при всех его достоинствах, сопряжено с рядом сложностей:
-
1. Для получения более качественных сценариев необходимо использовать более детальные модели компонентов ИС, что повышает сложность исследования ИС. Тем не
-
2. Качество сценариев напрямую зависит от качества разработанных моделей компонентов ИС.
-
3. Необходимость серьезной модернизации многоагентного комплекса под каждую ИС, что связано с большим числом комбинаций существующих уязвимостей. Единственный выход – сформировать базу данных типовых сценариев.
менее для построения сценариев можно попробовать использовать другие подходы [4].
Список литературы Применение многоагентного подхода для полунатурного моделирования злоумышленных воздействий
- Кларк, Э. М. Верификация моделей программ. Model Checking/Э. М. Кларк, О. Грамберг, Д. Пелед. -М.: Изд. дом «МЦНМО», 2002. -416 c.
- Bordini, R. H. Programming multi-agent systems in AgentSpeak using Jason/R. H. Bordini, F. J. Hubner, M. Wooldridge. -Wiley, 2007. -294 р.
- Georgeff, M. The Belief-Desire-Intention model of agency/M. Georgeff, B. Pell, M. Pollack [et al.]//Materials of Cognitive Modeling and Multi-Agent Interactions Conference. -CRC Press, 2005.
- Heberlein, T. Attack Graphs. Identifying Critical Vulnerabilities Within An Organization. 2004/T. Heberlein, M. Danforth, T. Stallard. -Mode of access: http://seclab.cs.ucdavis.edu/seminars/AttackGraphs.pdf (date of access: 10.06.2010).