Применение многоагентного подхода для полунатурного моделирования злоумышленных воздействий

Современные информационные системы обладают высокой структурной сложностью. Наличие уязвимостей в этих системах, а также вариативность и сложность злоумышленных воздействий вкупе с серьезностью последствий их успешной реализации обусловливают важность разработки методов и средств, позволяющих оценивать защищенность от таких воздействий.

Основная часть проблем, возникающих при проведении оценок, вызвана недостаточной проработанностью подходов к построению устойчивых моделей интегрированных адаптивных систем защиты, функционирующих в распределенных средах.

Предлагается подход к анализу защищенности информационных систем от злоумышленных воздействий, основанный на применении многоагентных систем с предварительным моделированием сценариев поведения злоумышленника посредством формальной верификации моделей.

Для построения сценариев проводится предварительное моделирование поведения информационной системы. Модель ИС представляется тройкой объектов:

где             – множество объектов ин формационной системы;

– множество уязвимостей;

– множество ресурсов ИС, найденных при исследовании информационной системы.

Множество объектов ИС представляется следующим образом:

где                     – множество хостов ИС;

– множество компонентов ИС, функционирую-щих в ней.

Каждый компонент в терминах модели Крипке [1] представляется как

.         (3)

Хост определяется как объединение компонент с учетом их взаимосвязей.

Уязвимости представляются как:

, (4)

где id – идентификатор уязвимости;

desc – описание уязвимости;

action – правила эксплуатации уязвимости;

SF – множество предусловий;

PF – множество постусловий;

V_exploit – сложность эксплуатации уязвимости.

Процесс эксплуатации уязвимости выражается как перевод компонентов информационной системы из одного состояния в другое. Множество уязвимостей формирует базу данных уязвимостей.

Под ресурсами Res понимается циркулирующая в ИС информация. Ресурсы непосредственно не моделируются – они представляются как множество состояний, в которых производится несанкционированное воздействие по отношению к информации, циркулирующей в информационной системе: базам данных, документам, правам доступа, настройкам служб.

Ресурс определяется как:

reS i = ( id, S ‘ , C , R д ) ,             (5)

где id – идентификатор (название) ресурса;

S' - подмножество состояний, в которых нарушитель осуществляет доступ к ресурсу;

C – стоимость ресурса (количественная оценка ущерба), в случае несанкционированного доступа к ресурсу;

R _Д – допустимый риск.

Сценарий злоумышленника представляется в виде четверки:

Г = ( id , S , R , Р у__Сц ) ,            (6)

где id – идентификатор сценария;

S – множество состояний информационной системы в сценарии;

R – множество дуг между состояниями;

P _у.сц – вероятность выбора данного сценария.

Множество сценариев Tr = { tr_i } – результат верификации модели информационной системы М _ИС при заданных целях злоумышленника. Цели злоумышленника определяются в терминах темпоральных логик CTL или LTL [1].

Множество сценариев именуется библиотекой сценариев и хранится в виде XML-файла. Библиотека сценариев легко интерпретируется в виде графа (см. рис. 1).

Для формализации модели ИС и целей злоумышленников, а также последующей ее верификации и построения сценариев используется средство верификации моделей NuSMV. Считается, что все сценарии независимые.

В качестве многоагентной среды для имитационного моделирования выбрана среда Jason, реализующего модель Belief-Desire-Intention (BDI). Основным языком реализации агентов является AgentSpeak, наследующий и развивающий программный каркас Procedural Reasoning System (PRS) [2; 3].

Достоинством данной среды является то, что агенты могут функционировать в любом окружении (Environment). Данное свойство реализуется одноименным суперклассом. Оно позволяет агенту взаимодействовать как с виртуальным окружением (функционирующим в рамках среды Jason), так и с реальным компонентом (посредством Java API).

Рис. 1. Граф библиотеки сценариев агентов-злоумышленников

Для имитации злоумышленных воздействий, соответствующих заданной библиотеке сценариев, предлагается использовать два типа агентов:

• -    { tig⁷””"" ® '} — множество агентов, которым известны сценарии воздействий на информационную систему (то есть последовательность посещаемых вершин графа, стратегия); они выполняют мониторинг состояния информационной системы, определяют, какой вершине соответствует текущее состояние и отдают приказы агентам второго множества на эксплуатацию уязвимостей для перевода системы в состояние, соответствующее одной из следующих вершин графа;

  - { ag⁷"" " } - множество агентов, которым известны тактики эксплуатации уязвимостей (то есть последовательность действий, приводящих к переходу в следующую вершину графа), но представления о стратегии злоумышленного воздействия на информационную систему они не имеют.

Для управления ходом имитации, а также для оценки результатов злоумышленных воздействий в многоагентную систему введен специальный мастер-агент, обладающий сведениями о рисках, связанных с каждым из сценариев.

Архитектура многоагентного комплекса представлена на рисунке 2.

В составе многоагентной системы выделяются следующие компоненты:

• -    Коммутатор, к которому подключаются агенты-злоумышленники, входящие в состав модуля имитации злоумышленных воздействий, а также модуль виртуальных компонентов и шлюз связи с информационной системой. Блок коммутации, используя информацию, расположенную в таблице коммутации, выполняет пересылку сообщений между портами коммутатора.

• -    Модуль виртуальных компонентов информационной системы – является основой для обеспечения полунатурного подхода при имитации злоумышленных воздействий. Он содержит модели тех элементов информационной системы, на которых в процессе имитации могут выполняться деструктивные, разрушающие воздействия.

  

  Рис. 2. Архитектура многоагентной системы

  
  
  
  

М.Ю. Умницын. Применение многоагентного подхода для полунатурного моделирования

• -    Шлюз связи. Он предназначен для пересылки сообщений, идущих от агентов-злоумышленников к информационной системе и обратно: модуль играет роль моста, связующего многоагентную систему с информационной системой.

Одно из достоинств выбранного многоагентного средства состоит в том, что агенты могут работать в двух режимах: в режиме имитации взаимодействия с ИС, в режиме непосредственного взаимодействия с ИС. В рамках проверки модели для полу-натурного режима были построены автоматы, описывающие процессы функционирования системы обнаружения вторжений. При наличии в информационной системе виртуального средства защиты агентам-злоумышленникам не удалось получить доступа к требуемым ресурсам.

Однако использование данного подхода, при всех его достоинствах, сопряжено с рядом сложностей:

• 1.    Для получения более качественных сценариев необходимо использовать более детальные модели компонентов ИС, что повышает сложность исследования ИС. Тем не

• 2.    Качество сценариев напрямую зависит от качества разработанных моделей компонентов ИС.

• 3.    Необходимость серьезной модернизации многоагентного комплекса под каждую ИС, что связано с большим числом комбинаций существующих уязвимостей. Единственный выход – сформировать базу данных типовых сценариев.

менее для построения сценариев можно попробовать использовать другие подходы [4].