doi: 10.36724/2409-5419-2023-15-1-37-47
МОДЕЛИ КОМПЬЮТЕРНЫХ АТАК НА ПРОГРАММНО-КОНФИГУРИРУЕМЫЕ СЕТИ
САЕНКО
Игорь Борисович1 КОТЕНКО
Игорь Витальевич2 ЛАУТА
Олег Сергеевич3
СКОРОБОГАТОВ
Сергей Юрьевич4
Сведения об авторах:
1 ведущий научный сотрудник, Санкт-Петербургский федеральный исследовательский центр Российской академии наук (СПб ФИЦ РАН), доктор технических наук, профессор, Санкт-Петербург, Россия, [email protected]
2 главный научный сотрудник, СПб ФИЦ РАН, доктор технических наук, профессор, Санкт-Петербург, Россия, [email protected]
3 профессор кафедры Государственного университета морского и речного флота им. адмирала С.О. Макарова (ГУМРФ), доктор технических наук, Санкт-Петербург, Россия, [email protected]
4 адъюнкт 32 кафедры Военной академии связи имени маршала Советского союза С.М. Буденного, Санкт-Петербург, Россия, [email protected]
АННОТАЦИЯ
Введение: Технология SDN в ближайшем будущем позволит внедрить аспекты открытости кода сетевой составляющей облачной инфраструктуры, которая считается наиболее благоприятной основой для разработки и внедрения широкого спектра приложений. Она основана на реализации сетевых устройств и выполняемых ими функций не в отдельном сетевом оборудовании, а на любом хосте сети при помощи программного коммутатора OpenvSwitch. Такой подход позволяет использовать практически любое вычислительное устройство в сети в качестве коммутатора/маршрутизатора. В то же время применение новых технологий влечет за собой появление новых дестабилизирующих факторов на них, особое место в которых занимают кибератаки. Возможными результатами воздействия кибератак на SDN являются блокирование контроллера SDN, канала управления и мониторинга Open Flow, внедрение ложной информации о пользователе сети SDN, получающем сетевые услуги, нарушение установленных регламентов сбора, обработки и передачи информации в SDN, отказы и сбои в работе SDN, а также компрометация передаваемой или получаемой информации. Цель работы заключается в применении комплексного подхода при исследовании новых подходов построения сетей передачи данных в условиях компьютерных атак, получения вероятностно-временных характеристик компьютерных атак, характерных для программно-конфигурируемых сетей, что в свою очередь позволяет определить наиболее опасные компьютерные атаки, подверженные им элементы, а также задать требования для системы, обеспечивающей защиту от наиболее вероятных воздействий. Используемые методы: используемый при моделировании метод топологического преобразования стохастических сетей позволяет получить параметры, обладающие заданной полнотой и достоверностью. Разница не более 5% между значениями, полученными в имитационной и аналитической моделях, подтверждают их адекватность. Реализация в имитационной модели большого числа реальных устройств, а также использование нескольких средств сбора сетевой статистики позволяет достичь требуемой полноты моделирования. Значительная детализация этапов компьютерных атак в методе топологического преобразования стохастических сетей способствует получению расчетных выражений, достаточно точно описывающих вероятностно-временные характеристики системы. Научная новизна полученных результатов определяется использованием метода топологического преобразования стохастических сетей (ТПСС) для аналитического моделирования кибератак на SDN. Результат: представленная модель позволяет получить вероятностно-временные характеристики компьютерных атак, характерных для программно-конфигурируемой сети. Основу предложенной модели представляет имитационная модель основной целью которой является наиболее точное воспроизведение процессов реальной системы. Полученные значения вероятностно-временных характеристик компьютерных атак позволяют достаточно точно определить наиболее опасные их типы, а также наиболее вероятные места проявления. Практическая значимость: представленный метод является универсальным и может быть применен в государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак при решении задач, связанных с обеспечением общественной безопасности.
РабОТа вып0лнена при ЧаСТИЧНОй КЛЮЧЕВЫЕ СЛОВА: компьютерные атаки, метод топологического фИНаНСОВОй ПОддержке преобразования стохастических сетей, программно-конфигурируемые сети,
бюджетной темы РРгР-2022-0007 моделирование.
Для цитирования: Саенко И.Б., Котенко И.В., Лаута О.С., Скоробогатов С.Ю. Модели компьютерных атак на программно-конфигурируемые сети // Наукоемкие технологии в космических исследованиях Земли. 2023. Т. 15. № 1. С. 37-47. doi: 10.36724/2409-5419-2023-15-1-37-47
Введение
Резкий рост объемов трафика и изменение предоставляемых услуг большому числу пользователей, формирование высокопроизводительных кластеров для обработки больших данных и хорошо масштабируемых виртуализированных сред для предоставления облачных сервисов серьезно изменило структуру и требования, предъявляемые к современным сетям передачи данных [1]. Одной из концепций для построения сети передачи данных различных корпоративных структур является программно-конфигурируемая сеть (англ. - Software-defined network, SDN), которая работает, начиная с сетевого уровня [2, 3].
Программно-конфигурируемые сети помогают решить целый ряд имеющихся проблем, а также способствуют созданию автоматизированных, программируемых, гибких и экономичных сетевых инфраструктур [4-6]. Они помогают системно решить большинство накопившихся проблем, в том числе связанных с обеспечением сетевой и информационной безопасности [7, 8].
SDN - это открытая сетевая архитектура, предложенная в последние годы для устранения некоторых ключевых недостатков традиционных сетей передачи данных. Сторонники SDN утверждают, что логики управления сетью и сетевыми функциями являются двумя отдельными понятиями и поэтому должны быть разделены на разные уровни. С этой целью в SDN были введены понятия плоскости управления и плоскости данных: централизованная плоскость управления (иначе называемая контроллером) управляет логикой сети, контролирует функции инжиниринга траффика с плоскости данных (называемой коммутаторами), которые просто заботятся о пересылке пакетов между сетями.
Таким образом, SDN можно рассматривать как физически распределенную структуру коммутации с логически централизованным управлением, предназначенную для обеспечения высоко динамичного управления и качества обслуживания / политик безопасности.
Однако, как во многих новых решениях, в SDN есть ряд недостатков [9]:
полностью или практически полностью программное решение влечет за собой тысячи строк программного кода, который, в свою очередь, влечет за собой наличие непреднамеренных ошибок;
значительная часть уязвимостей перешла в технологию из стека протоколов TCP/IP;
наличие устройства, полностью управляющего сетью и владеющего всей информацией о сети, требует дополнительных средств и механизмов защиты;
новая технология подразумевает под собой интенсивное появление новых уязвимостей, характерных для новых решений данной технологии [10].
Таким образом, применение новых технологий влечет за собой появление новых сетевых дестабилизирующих факторов, особое место среди которых занимают кибератаки. Возможными результатами воздействия кибератак на SDN являются: блокирование контроллера SDN, канала управления и мониторинга Open Flow; внедрение ложной информации о
пользователе сети SDN, получающем сетевые услуги; нарушение установленных регламентов сбора, обработки и передачи информации в SDN; отказы и сбои в работе SDN; компрометация передаваемой или получаемой информации.
Это позволяет считать, что кибератаки и способность противодействовать их реализации являются ключевыми факторами, определяющими устойчивость SDN. По этой причине в настоящей статье мы акцентируем свое внимание именно на кибератаках как наименее изученной, по нашему мнению, а также наиболее важной группе дестабилизирующих факторов. Более того, мы будем трактовать термин «устойчивость SDN» как способность сети передачи данных, в которой уровень управления сетью отделен от устройств передачи данных и реализуется программным образом, как одну из форм виртуализации сети, позволяющую реализовывать свои функции и процессы в условиях кибератак.
Рассматриваемый подход предполагает разработку вербальных моделей кибератак и построение их аналитических моделей при реализации. С целью построения аналитических моделей кибератак применяется метод топологического преобразования стохастических сетей. Для получения исходных данных при моделировании обоснован и развернут имитационной стенд SDN на виртуальной среде EVE-NG. Результатом моделирования является функция распределения времени и среднее время реализации кибератаки. Эти результаты используются затем для оценки показателей устойчивости SDN, нахождение которых осуществляется с использованием методов теории Марковских процессов [11]. Этот подход отличается более высокой точностью и сходимостью получаемых решений и хорошо зарекомендовал себя при моделировании многошаговых стохастических процессов различной природы.
Результаты исследований
Рассмотренный подход в настоящей статье получил экспериментальную проверку для некоторых наиболее известных и популярных видов атак. Атаки «Подмена сетевой топологии» являются характерными примерами атак пассивного типа, которые не наносят разрушений в SDN, но выявляют важную информацию, которую впоследствии злоумышленник может использовать для проведения более серьезных атак. Атака «Взлом, сбой контроллера» является характерным примером активных атак, которые существенно нарушают работоспособность SDN. Указанные типы атак будут рассмотрены в настоящей статье в качестве объектов аналитического моделирования.
Основные способы выполнения этапов реализации кибератак на SDN представлен в таблице 1.
В целях обеспечения основных требований, предъявляемых к модели с заданным уровнем точности, и получения наиболее достоверных вероятностно-временных характеристик, требуется разработать комплексную модель КА на SDN, состоящую из вербальной модели КА на SDN, математической модели и имитационной. С этой целью предлагается использовать эталонные модели КА и метод топологического преобразования стохастических сетей (ТПСС).
Таблица 1
Процесс кибератак на SDN
Этапы реализации воздействия Основные способы выполнения
Сбор информации Первый этап реализации атак — это сбор информации об атакуемой системе или узле. Он включает такие действия, как определение сетевой топологии, типа и версии операционной системы атакуемого узла, а также доступных сетевых и иных сервисов и т.п. Эти действия реализуются различными методами.
Изучение окружения На этом этапе нападающий исследует сетевое окружение вокруг предполагаемой цели атаки. К таким областям, например, относятся узлы Internet-провайдера "жертвы" или узлы удаленного офиса атакуемой компании. На этом этапе злоумышленник может пытаться определить адреса "доверенных" систем (например, сеть партнера) и узлов, которые напрямую соединены с целью атаки (например, маршрутизатор ISP) и т.д. Такие действия достаточно трудно обнаружить, поскольку они выполняются в течение достаточно длительного периода времени и снаружи области, контролируемой средствами защиты (межсетевыми экранами, системами обнаружения атак и т.п.).
Идентификация топологии сети Существует два основных метода определения топологии сети, используемых злоумышленниками: 1) изменение TTL (TTL modulation); 2) запись маршрута (record route).
Идентификация узлов Идентификация узла, как правило, осуществляется путем посылки при помощи утилиты ping команды ECHO_REQUEST протокола ICMP. Ответное сообщение ECHO_REPLY говорит о том, что узел доступен. Существуют свободно распространяемые программы, которые автоматизируют и ускоряют процесс параллельной идентификации большого числа узлов, например, fping или nmap. Опасность данного метода заключается в том, что стандартными средствами узла запросы ECHO_REQUEST не фиксируются. Для этого необходимо применять средства анализа трафика, межсетевые экраны или системы обнаружения атак.
Идентификация сервисов или сканирование портов Идентификация сервисов, как правило, осуществляется путем обнаружения открытых портов (port scanning). Такие порты очень часто связаны с сервисами, основанными на протоколах TCP или UDP. Например: • открытый 80-й порт подразумевает наличие Web-cepBepa; • 25-й порт - почтового SMTP-сервера; • 31337-й - серверной части троянского коня BackOrifice; • 12345-й или 12346-й - серверной части троянского коня NetBus и т.д.
Идентификация операционной системы Основной механизм удаленного определения ОС - анализ ответов на запросы, учитывающие различные реализации TCP/IP-стека в различных операционных системах. В каждой ОС по-своему реализован стек протоколов TCP/IP, что позволяет при помощи специальных запросов и ответов на них определить, какая ОС установлена на удаленном узле. Другой, менее эффективный и крайне ограниченный способ идентификации ОС узлов - анализ сетевых сервисов, обнаруженных на предыдущем этапе. Например, открытый 139-й порт позволяет сделать вывод, что удаленный узел, вероятнее всего, работает под управлением ОС семейства Windows. Для определения ОС могут быть использованы различные программы, например, nmap или queso.
Определение роли узла Предпоследним шагом на этапе сбора информации об атакуемом узле является определение его роли, например, выполнение функций межсетевого экрана или Web-cepBepa. Выполняется этот шаг на основе уже собранной информации об активных сервисах, именах узлов, топологии сети и т.п. Например, открытый 80-й порт может указывать на наличие Web-cepBepa, блокировка ICMP-пакета указывает на потенциальное наличие межсетевого экрана, а DNS-имя узла proxy.domain.ru или fw.domain.ru полностью раскрывает роль узла.
Определение уязвимостей узла Последний шаг - поиск уязвимостей. На этом шаге злоумышленник при помощи различных автоматизированных средств или вручную определяет уязвимости, которые могут быть использованы для реализации атаки. В качестве таких автоматизированных средств могут быть использованы ShadowSecurityScanner, nmap, Retina и т.д.
Реализация атаки С этого момента начинается попытка доступа к атакуемому узлу. Доступ может быть как непосредственный, т.е. проникновение на узел, так и опосредованный, например, при реализации атаки типа "Отказ в обслуживании". Реализация атак в случае непосредственного доступа также может быть разделена на два этапа: • проникновение; • установление контроля.
Цели реализации атак Необходимо отметить, что злоумышленник на втором этапе может преследовать две цели. Во-первых, это может быть получение несанкционированного доступа к самому узлу и содержащейся на нем информации. Во-вторых, это может быть получение несанкционированного доступа к узлу для осуществления дальнейших атак на другие узлы. Первая цель, как правило, осуществляется только после реализации второй. Иными словами, сначала злоумышленник создает себе базу для дальнейших атак и только после этого проникает на другие узлы. Это необходимо для того, чтобы скрыть или существенно затруднить нахождение источника атаки.
Завершение атаки Этапом завершения атаки является "заметание следов" со стороны злоумышленника. Обычно это реализуется путем удаления соответствующих записей из журналов регистрации узла и других действий, возвращающих атакованную систему в исходное, "предъатакованное" состояние.
Таблица 2
Классификация атак, специфичных для SDN
Плоскость SDN Угроза/атака Описание
1. анные 1.1. Синхронная атака (Flooding attacks) Таблицы потоков коммутаторов содержат только ограниченное количество правил потока.
1.2. Атака «человек посередине» Активное прослушивание, при котором злоумышленник устанавливает независимые связи, поскольку TLS - это вариант дополнения, а не стандарт.
1.3. Взлом или сбой контроллера Взлом контроллера увеличивает риск для плоскости данных.
2. Управление 2.1. Вмешательство в цепочку обслуживания (Service Chain Interference) Данная атака может привести к двум последствиям: 1) вредоносное приложение может участвовать в цепочке и удалить управляющее сообщение до того, как другие приложения получат необходимую информацию; 2) вредоносное приложение может попасть в бесконечный цикл, чтобы остановить цепное выполнение приложений.
2.2. Злоупотребление внутренней памятью Использование внутренней памяти контролера
2.3. Манипуляции с управляющими сообщениями Манипуляции управляющими сообщениями.
2.4. Злоупотребление севернымАР1 Приложение SDN может манипулировать поведением других приложений, используя плохо спроектированный северный API.
2.5. Манипуляции с системными переменными Манипуляция системными переменными.
2.6. Отравление топологии сети Изменение топологии сети.
2.7. DoS-атаки Нет значительной аутентификации.
2.8. Несанкционированный доступ к контроллеру Нет достоверных прав доступа пользователей.
2.9. Масштабируемость и доступность Увеличение размера и сдвига сети создает проблемы.
3. Приложен 3.1. Отсутствие аутентификации и авторизации Для приложений не используются никакие средства аутентификации.
3.2. Вставка мошеннических правил потока Подключенные вредоносные приложения могут вставлять ложные правила в таблицы потоков.
3.3. Отсутствие контроля доступа Сложно реализовать контроль доступа.
Вербальная модель кибератак на SDN. Для SDN существует ряд специфичных КА, нацеленных на плоскости, реализуемые в рамках данной технологии построения сети. Классификация атак, специфичных для SDN, представлена в таблице 5.
Большинство сетевых атак относятся к следующим типам:
Спуфинг-атаки (Spoofing);
«Атака человек посередине» (Man-in-the-Middle);
Несанкционированный доступ (Tampering);
Отказ (Répudiation);
Утечка информации (Information Disclosure);
Отказ в обслуживании (Deny-of-Service).
Кибератаки на элементы SDN реализуются в виде целенаправленных программно-аппаратных воздействий, приводящих к нарушению или снижению эффективности выполнения технологических циклов.
Модель КА на SDN «Подмена сетевой топологии». Для построения математической модели кибератаки типа «Подмена сетевой топологии» представим сценарий ее реализации в виде последовательности действий, указанных в таблице 3. Итогом кибератаки «Подмена сетевой топологии» становится работа злоумышленника, выдаваемого за доверенное сетевое устройство с использованием идентификационных данных, полученных от средств технической компьютерной разведки.
Описанный выше процесс реализации КА представим в виде стохастической сети (рис. 1).
Таблица 3
Сценарий кибератаки типа «Подмена сетевой топологии»
№ п/п Описание этапа проведения КА Условное обозначение этапа
1 Проверка канала подключения к атакуемой сети w(s)
2 Обмен с сетевым контроллером по протоколу управления Open Flow, выдача своего устройства за легитимное устройство сети m(s)
3 Отправка данных сетевой статистики на контроллер по протоколу управления, проверка отклика контроллера Ks)
4 Построение топологии сети путем отправки ложной сетевой статистики z(s)
5 Управление работой сети методом обмана сетевого контроллера ложными сообщениями Open Flow протокола d(s)
Для определения эквивалентной функции вводится понятие замкнутой стохастической сети, а также петель первого и /-го порядков [12-14].
Эквивалентная функция петли /-го порядка определяется
как
где О: (5) - эквивалентная функция /-й петли первого порядка, определяемая как произведение эквивалентных функций ветвей, входящих в эту петлю.
Рис. 1. Стохастическая сеть КА типа «Подмена сетевой топологии»
Преобразуем исходную стохастическую сеть в замкнутую (рис. 2).
—^ol; - pn
Рис. 2. Замкнутая стохастическая сеть КА типа «Подмена сетевой топологии»
Замкнутая сеть позволяет использовать для определения эквивалентной функции исходной сети топологическое уравнение Мейсона для замкнутых графов
H = l + T1Kk=1(-l)kQk(s) = 0,
(2)
где К— максимальный порядок петель, входящих в стохастическую сеть.
После того как стохастическую сеть замкнули фиктивной ветвью QЭL(s) = 1/к(!5), где Л(5)-искомая эквивалентная функция, определим все петли.
Петли первого порядка:
w(s) • m{s) • l{s) ■ Рп (1 - Рп) • z(s) • I(s).
d(s)/h(s);
(3)
(4)
(5)
Петель второго и более высотах порядков нет. Тогда уравнение (3) можно записать так
1 - w(s) • m (s) • Z(s) • Рп • d(s)/h(s) - (1 - Рп) • z(s) I (s) = 0.
Эквивалентная функция в этом случае имеет вид
, , . _ w(s)-m(s)-l(s)-Pn-d(s) 1 ' l-(l-Pn)-z(s)-l(s) ■
Для определения расчетного соотношения функции распределения допустим, что
fW(t) = 1 -exp[-wt]; M(t) = 1 - ехр[ - mt];
L(t) = 1 — exp[ — It]; (6)
D(t) = 1 — exp[ — dt]; ^ Z{t) = 1 -exp [- zt],
где w = l/t3an, m = l/tnap, l = l/fnepex, d = l/tOT4eT, z = l/tn0BT, t3an, tnap, t пер ex» ^отчет» ^повт — средние времена реализации отдельных процессов КА.
С использованием преобразования Лапласа находим изображения функций плотности распределения времени выполнения /-го процесса КА:
l(s)=l exp(-st)d[L(t)] =
tOÄHO
-i J0
ç 00
d{s) = I exp(- st)d[D(t)] = J 0
z(s) = I exp(- st)d[Z(t)] = -'0
w(s) = I exp{ - st)d[W(t)] = J 0
l
l + s' d
d + s'
z
z + s' w
w + s '
m(s)=f exp(-st)d[M(t)]=-^-.
(7)
После подстановки выражения (6) в (7), а полученных ре зультатов в (5), получим [15]
w-m-l-Pu-d-(z+s)
Ks) = ■
(8)
Qa(s) I /
(w+s)-(d+s)-(m+s)-[(i+s)-(z+s)-(l-Pn)-z-i]
Для упрощения расчетов определим: A = d +l + m + w + z\
B = [l■ (d + m + z) + w• (d +l + m + z) + d• (m + z) + m• z- (1 - Pn) • m■ z]; С = [w• [l• (d + m + z) + d■ (m + z) + m• z- (1 - Pn) • m■ z] +
+ d• (m• z- (1 - Pn)• m■ z) +1-[d• (m + z) + m• z- (1 - Pn)• m■ z]];
D = [w-[d • (m • z - (1 - Pn) • m • z) +1-[d • (m + z) + m • z - (1 - Pn) • m • z]] +
+d • / •( m • z - (1 - Pn) • m • z)]; E = d • / • w( m • z - (1 - Pn) • m • z).
(9)
С целью определения оригинала эквивалентной функции (8) используем разложение Хэвисайда:
u(s\ = yn f(sk) 1 — у5 wmlPBd(z+sk)___
(10)
Тогда имеем:
h(t) = L"1{ft(s)} = U=
w-m-l-Pn-d-(z+sk)
exp[skt]. (11)
Полученное выражение является функцией плотности вероятностей. Поэтому искомая интегральная функция распределения вероятностей определяется следующим образом:
w-m-l-Pu-d-(z+sk) 1—exp[skt]
F(t) - J0 h(t) dt - ^l = l5s4 + 4^.s3 + 3B.s2 + 2C.Sfc + D ■
(12)
Среднее время tKA, затрачиваемое на реализацию КА, определяется так:
КА J0 W 5s4 + 4^.s3 + 3B.s2 + 2C.Sfc + D (_sfc)2
(13)
Таким образом, определена интегральная функции распределения и среднее время tKА реализации КА. Понятно, что указанные расчеты производятся для каждого этапа КА.
С целью получения нормированных значений для ВВХ кибератак разработана имитационная модель SDN.
Экспериментальные результаты
Описание имитационного стенда. С целью получения исходных данных по реализации КА была разработана комплексная компьютерная имитационная модель сети передачи данных с применением SDN (рис. 3).
Модель разработана в целях исследования устойчивости программно-конфигурируемой сети в условиях КА с учетом особенностей ее функционирования (информационного обмена, настройки сетевого оборудования, использования средств мониторинга и т.д.). Особенностью данной модели является ее комплексность. Во-первых, при построении SDN в виртуальной среде были использованы образы реальных сетевых устройств операторов связи, а также образы устройств Open Flow коммутаторов и контроллера Runos 2.
Во-вторых, для имитации нагрузки вместо программ-генераторов пакетов были использованы программы, предназначенные для информационного обмена на реальном оборудовании. В-третьих, использовалось несколько параллельно собирающих и анализирующих трафик программных продуктов, что позволяет оценить достоверность полученной сетевой статистики. Наконец, при планировании и проведении этапов КА учитывалось среднее время их выполнения, которое вычислялось при проведении заданного числа экспериментов.
Модель разработана на основе виртуальной сетевой лаборатории EVE-NG, в которую добавлены образы устройств реального оборудования, используемого в корпоративных сетях передачи данных: Dionis-NX, Juniper, Cisco, Huawei и др. Кроме того, два узла распределенной корпоративной сети было реализовано при помощи технологии SDN. Для моделирования SDN были использованы образы Linux (Ubuntu) с установленными программными маршрутизаторами OpenvSwitch, а в качестве образа контроллера использовалась модель контроллера Runos 2.0.
Модель сети передачи данных состоит из сети связи общего пользования, опорной сети передачи данных и оконечных узлов. Осуществляется подключение внешних устройств к виртуальной модели сети передачи данных. Внешними устройствами служат виртуальные или реальные устройства генерации трафика.
В модели используются рабочие места на операционных системах Linux Ubuntu, с помощью которых организуется ви-деоконференцсвязь, а также образ автоматической телефонной станции Протей-СП, с помощью которого имитируется обмен информацией между пользователями по средствам IP-телефонной связи и передачи сообщений с помощью почтового сервера.
Рис. 3. Компьютерная имитационная модель сети передачи данных с применением SDN
В таблице 4 приведен перечень используемых программных продуктов, образов устройств и реального оборудования, используемого в имитационной компьютерной модели сети передачи данных с использованием технологии SDN.
Таблица 4
Перечень используемых программных продуктов
№ п/п Название устройства (программного продукта) Примечание
Коммутаторы, маршрутизаторы
1 JuniperSRX-240 (QEMU) Сетевое устройство, выполняющее роль граничного маршрутизатора
2 Dionis-NX (QEMU) Сетевое устройство, выполняющее роль межсетевого экрана
3 Cisco3845 (QEMU) Предназначено для имитации работы СС ОП
4 OpenvSwitch (Linux Ubuntu) Программный маршрутизатор SDN
Средства имитации информационного обмена
5 Linux Ubuntu Операционная система
6 Lifesize Программное средство дпяВКС
7 Протей_СП (iso) Телефонная станция IP телефонии
8 SIP-T22R IP-телефон
9 Runos 2.0 Контроллер SDN
Среда моделирования, вспомогательные средства
10 EVE-NG Среда моделирования СПД
11 NFsen Средство сбора информации с сетевых устройств об информационных потоках
12 Zabbix 3.4 Средство мониторинга
13 Wireshark Средство перехвата трафика в СПД
14 VMware Среда виртуализации для работы гостевых операционных систем
Исследованию устойчивости SDN к различным киберата-кам посвящено достаточно много работ, однако в них для построения имитационной компьютерной модели используется программа моделирования виртуальной сетевой среды Mininet, которая не позволяет, в отличии от EVE-NG, создавать комплексную систему с внедрением реального оборудования и программ для имитации работы реальной SDN.
Виртуальная сетевая среда EVE-NG позволяет создавать различные топологии исследуемых сетей, проводить на них сценарии КА и параллельно собирать сетевую статистику при различных вариантах работы. В данную среду можно добавлять различные образы устройств, имеющих свою операционную систему, а также объединять между собой с помощью виртуальной сети придачи данных реальные устройства, применяемые для обеспечения SDN. При этом и виртуальные, и реальные устройства, работающие в виртуальной среде или подключенные к ней, полностью выполняют заложенный в них функционал, что позволяет осуществить их настройку согласно принятой методики.
Для сбора и обработки сетевой статистики на отдельном компьютере были установлены программные продукты Nfsen2 и Wireshark, а также средство мониторинга сети Zabbix3.4.
Создание имитационной модели информационного обмена при помощи программ, работающих на реальной СПД, и подключение средств мониторинга, которые позволяют отслеживать сгенерированный трафик, образует лабораторный стенд, который позволяет исследовать особенности изменения свойств СПД при различных условиях функционирования. Так как в данной работе рассматривается SDN, следовательно, в модели два взаимодействующих узла реализованы с помощью данной технологии.
Пример имитационной модели КА на SDN
После формирования имитационного стенда, описания логической структуры SDN и характерных для нее КА, необходимо перейти к формированию имитационной модели ки-бератак. Рассмотрим пример имитационной модели процесса КА на SDN. Для этого каждый этап процесса реализации атаки характеризуется среднем временем выполнения. Для проведения экспериментов и получения параметров среднего времени t для этапов КА предлагается воспользоваться средствами виртуального моделирования компьютерных сетей EVE-NG.
Для осуществления удаленной кибератаки злоумышленник может находится в любой точке, имеющей связь с ССОП. Этапы КА можно обобщенно представить в виде схемы, представленной на рисунке 4.
планирование
реализация
Рис. 4. Обобщенная схема этапов КА на SDN
На выбор типа КА влияют два основных параметра:
1) цели и задачи предстоящей КА;
2) данные ТКР о СПД, на которую предполагается реализация КА.
Таким образом первыми параметрами построения имитационной модели КА на SDN являются цели и задачи атаки. Допустим, целью КА является получение управления или частичного управления СПД для сбора и анализа передаваемого трафика. Одним из типов КА в SDN для достижения такой цели является атака типа «Подмена сетевой топологии».
Для осуществления данной КА ТКР должна обладать рядом данных о SDN-устройствах. Для SDN это могут быть стандартные IP/MAC - адреса сетевых устройств, и свойственные для данной технологии UUID- уникальные номера программного коммутатора/контроллера, SSL-ключ и т.д.
Получив необходимые данные, злоумышленник может приступать к проведению кибератаки, осуществив все необходимые настройки устройства/устройств, с которого предполагается осуществлять КА типа «Подмена сетевой топологии» (рис. 5). Нумерация этапов КА взята из таблицы 3.
Таким образом, для успешной реализации атаки злоумышленнику необходимо реализовать этапы, приведенные в таблице 3, и реализованные в имитационной компьютерной сети.
В процессе проведения экспериментов были получены данные сетевого трафика. Итогом кибератаки стала работа
выданного за доверенное сетевое устройство злоумышленника, используя идентификационные данные, полученные ТКР.
Для получения адекватных данных в имитационной модели необходимо определить модельное время и количество экспериментов. При проведении экспериментов на имитационной модели модельным временем будет являться время проведения исследуемой КА на SDN. Логично, что с каждым /-ым экспериментом время его реализации будет меньше предыдущего, пока не достигнет значения минимального времени выполнения. Однако стоит учесть и неопределенность, которая влияет на дисперсию времени этапа. Количество экспериментов определим как необходимое для выполнения неравенства Ti_1 — Ti <5 сек., Тм-Т; > 5сект.е. время выполнения процесса КА следующего эксперимента не меньше, чем время выполнения предыдущего, на 5 сек.
Контроллер TP
Контроллер TP
Противник
Противник
г) этапы №№ 4 и 5
Рис. 5. Проведение атаки типа «Подмена сетевой топологии»
Также исключим из формулы определения среднего времени проведения КА время первого и последнего экспериментов, т.к. первый эксперимент является самым долгим, потому что проводится поэтапно с параллельным тестированием всех элементов модели, а последний практически равен предшествовавшему, и последнее время не более чем на 5 секунд отличается от предыдущего. Обозначим N - количество экспериментов. Тогда среднее время /-го этапа КА вычисляется по следующей формуле:
Т ■ = ■
1 cpi
Ti у _ Й г Xcpi —
(17)
Аналогичным образом были реализованы все характерные для SDN атаки, приведенные в таблице 2. Результаты имитационного моделирования использовались в расчетах ВВХ с использованием ТПСС.
В таблице 5 приведены экспериментальные значения времени проведения этапов КА, характерных для технологии SDN.
Таблица 5
Экспериментальные значения времен проведения этапов КА
№ этапа КА Время /-го эксперимента каждого эксперимента Т ' cpi
1 2 3 4 5 6 7 8
1.1 Синхронная атака (Flooding attacks)
1 4,34 4,22 4,10 3,59 3,45 3,36 3,27 3,10 3,57
2 2,55 2,44 2,47 2,35 2,17 1,58 1,56 1,37 2,25
3 5,02 4,56 4,44 4,30 4,27 3,67 3,58 3,53 4,32
4 5,58 5,44 5,45 5,24 5,24 4,56 4,45 4,38 5,25
5 3,45 3,30 3,20 3,18 3,14 2,43 2,44 2,25 3,00
1.2 «Атака человек по середине» (Man-in-the-middle)
1 2,50 2,51 2,29 2,20 2,10 1,59 1,45 1,41 2,13
2 3,54 3,48 3,32 3,27 3,24 2,59 2,43 2,46 3,21
3 3,33 3,27 3,32 2,10 2,44 2,26 2,16 2,28 2,55
4 5,30 5,13 5,33 4,53 4,51 4,28 4,25 4,32 4,59
1.3 Взлом или сбой КОНТ) эоллера
1 2,02 1,55 1,49 1,42 1,21 0,58 0,49 0,38 1,35
2 2,38 2,21 2,05 1,63 1,57 1,35 1,19 1,15 1,55
3 3,57 3,50 3,33 3,21 3,08 2,48 2,37 2,29 3,14
4 4,46 3,54 3,52 3,36 3,31 3,12 2,55 2,40 3,41
Используя полученные значения в качестве исходных данных, были получены зависимости F(t) и tKA, представленные на рисунках 6-8. В качестве исходных данных использовались следующие значения времени и вероятности, соответствующие профильной модели КА: среднее время для каждого этапа КА - значения из таблицы 5; Pn = 0,2; 0,6; 0,8.
Представленные зависимости позволяют определить: вероятность Pn (t < Т3) реализации каждой из КА за время, не более заданного Т3; среднее время их реализации; время, соответствующее заданному уровню угрозы их реализации. Так, например, при вероятности нарушения работоспособности сети Pn= 0,8, определяющей ее доступность средствам КА злоумышленника, через 17 минут функционирования сеть будет не работоспособна с вероятностью F(t=17) = 0,8. При этом среднее время реализации КА составляет около 10 минут.
152 " 133'
1Т' ! Н Г Г Г Т Т Т " Г г г т т т г г г " т т т
а) О 0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.
F(t)
. 1 ri
Р„,=0.8 Р„,=0.6 Р„,=0.2
Рис. 6. Вероятностно-временные характеристики КА типа «Человек посредине» (а - зависимость среднего времени от вероятности реализации КА; б - зависимость интегральной функции распределения вероятности от времени реализации КА)
152 "" 133" 114 "
Т Т Г'ТТТ Т Г ГТТТ "Т Г гтттг г f т уу.
а) о
Fit)
0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.8 0.9
. t
' ^ res =0-8
1 Ле5=0-б
1 Л,, =0.2
21 24 27 30
t, min
Рис. 7. Вероятностно-временные характеристики КА типа «Взлом или сбой» контроллера
1,1
114 93
57 38 19
1 т т т Г Г т т t
0 С .1 с .2 С з с .4 0 5 0 б 0.7 0 8 0.9 pn
F(t) 1Я
0 3 б 9 12 15 18 21 24 27 30
b) t, min
Рис. 8. Вероятностно-временные характеристики КА типа «DoS-атака»
b)
b)
Анализ полученных результатов показывает, что при одновременном воздействии нескольких способов реализации КА среднее время их реализации сокращается в разы, что подтверждает целесообразность их комплексирования.
В свою очередь становится актуальным развитие таких средств защиты плоскости передачи в программно-конфигурируемой сети, которые способны не только нейтрализовать попытки КА, но и предупреждать о совершении таких попыток. В этом случае возможно подготовиться к отражению новых атак другими способами, что увеличивает устойчивость сети.
Заключение
В статье предлагается новый подход к аналитическому моделированию КА, основанный на методе топологического преобразования стохастических сетей. Сущность данного метода заключается в замене множества элементарных ветвей стохастической сети одной эквивалентной ветвью с последующим определением эквивалентной функции сети, а также начальных моментов и функции распределения времени реализации КА.
Проверка предложенного подхода была проведена для моделирования КА типов «Подмена сетевой топологии» и «Взлом или сбой контроллера», которые являются одними из наиболее распространенных и опасных для SDN.
Определяя дальнейшие направления исследований, следует отметить, что в предложенном подходе было принято ограничение, согласно которому новая кибератака начинается через некоторое время после того, как была обнаружена предыдущая, и были устранены последствия ее реализации. Однако такое событие следует рассматривать как частный случай, при котором на компьютерную сеть воздействует только один злоумышленник. В реальности одновременно злоумышленников может быть достаточно много, и компьютерные атаки, активируемые ими, могут накладываться друг на друга. Поэтому сценарий проведения массированных кибератак следует считать одним из направлений дальнейших исследований.
Другое ограничение рассмотренного подхода связано с тем, что сценарии возможных атак заранее считаются известными, а сценарии реализации мер противодействия атак не рассматриваются. В то же время множество возможных сценариев противодействия кибератакам является конечным. По этой причине возможно построить аналитические модели для реализации контрмер и интегрировать их с аналитическими моделями кибератак.
В результате получится интегрированная аналитическая модель поведения компьютерной сети в условиях кибервоз-действий, позволяющая оценивать и выбирать наиболее эффективные меры противодействия. Это направление также следует считать достаточно перспективным для дальнейших исследований.
Литература
1. АнанченкоИ.В., Щербович-Вечер А.В. Проектирование современных инфокоммуникационных сетей с использованием технологии программно-конфигурируемых сетей и виртуализации сетевых функций II Символ науки: международный научный журнал, 2015. № 12-1. С. 11-13.
2. Калмыков Н.С., ДокучаевВ.А. Применение концепции программно-конфигурируемых сетей для построения территориально-распределенных сетей II Телекоммуникации и информационные технологии, 2020. Т. 7. № 2. С. 51-56.
3. Евглевская Н.В., Хмелляр НА., Шинкарев С.А. Построение сети передачи данных как программно-конфигурируемой сети II Известия Тульского государственного университета. Технические науки, 2021 ,№11.С. 272-278.
4. Мурадова А.А. Анализ работы основных элементов программно-конфигурируемых сетей, используемых на транспортном уровне инфокоммуникационных сетей II Перспективы развития ин-формационныхтехнологий, 2016. № 32. С. 136-144.
5. Атея АА., Мутханна А.С., Кучерявый А.Е. Интеллектуальное ядро для сетей связи 5G и тактильного интернета на базе программно-конфигурируемых сетей II Электросвязь, 2019. № 3. С. 34-40.
6. Локтионов О.В. Применение программно-конфигурируемых сетей для построения сетей связи специального назначения II Вестник Санкт-Петербургского университета МВД России, 2017. № 4 (76). С. 127-130.
7. Степанов М.Д., Павленко ЕЮ., Лаврова Д.С. Обнаружение сетевых атак в программно-конфигурируемых сетях с использованием алгоритма изолирующего леса II Проблемы информационной безопасности. Компьютерные системы, 2021. №1.С. 62-78.
8. Пименова А А., Никитин Д.Д., Никишин К.И. Моделирование сценариев безопасности в программно-конфигурируемых сетях II Вестник Рязанского государственного радиотехнического университета, 2022. № 82. С. 60-72.
9. Kotenko I., Doynikova E. Security Assessment of Computer Networks based on Attack Graphs and Security Events II Lecture Notes in Computer Science, Vol.8407, 2014, pp.462-471.
10. Чернов И.В., Орлов В.Г. Особенности программно-конфигурируемых сетей II Телекоммуникации и информационные технологии, 2018. Т. 5.№1. С. 21-25.
11. Малафеев О.А., Зайцева И.В., Шлаев Д.В., Шматко С.Г., Брейдер НА. Моделирование процесса взаимодействия в информационно-вычислительной сети как системе с марковскими процессами II Известия высших учебных заведений. Приборостроение, 2021. Т. 64. № 6. С. 444-451.
12. Kotenko I., Saenko I., Lauta O. Analytical modeling and assessment of cyber resilience on the base of stochastic networks conversion II Proceedings of 2018 10th International Workshop on Resilient Networks Design and Modeling, RNDM 2018. 10,2018. C. 8489830.
13. Kotenko I., Saenko I., Lauta O, Kocinyak M. Assessment of computer network resilience under impact of cyber attacks on the basis of stochastic networks conversion II Communications in Computer and Information Science, 2018. T. 797. pp. 107-117.
14. Kotenko, I., Saenko, I., Lauta, O:, Analytical Modeling and Assessment of Cyber Resilience on the base of Stochastic Networks Conversion. 201810th International Workshop on Resilient Networks Design and Modeling (RNDM 2018), Longyearbyen, 2018, Norway, pp. 1-8.
15. Котенко ВН., Саенко Н.Б., Коцыняк MA, Лаута О.С. Оценка киберустойчивости компьютерных сетей на основе моделирования кибератак методом преобразования стохастических сетей II Труды СПИИРАН, 2017. № 6(55). С.160-184.
Vol. 15. No. 1-2023 H&ES RESEARCH
INFORMATICS, COMPUTER ENGINEERING AND CONTROL COMPUTER ATTACK MODELS ON SOFTWARE-CONFIGURABLE NETWORKS
VASILIY A. GOLOVSKOY
St. Petersburg, Russia
VASILIY A. GOLOVSKOY
St. Petersburg, Russia
VASILIY A. GOLOVSKOY
St. Petersburg, Russia
VASILIY A. GOLOVSKOY
St. Petersburg, Russia
KEYWORDS: computer attacks, method of topological transformation of stochastic networks, software-configurable networks, modeling.
ABSTRACT
Introduction: SDN technology in the near future will allow to introduce aspects of the openness of the code of the network component of the cloud infrastructure, which is considered the most favorable basis for the development and implementa-tion of a wide range of applications. It is based on the implementation of network devices and their functions not in separate network equipment, but on any network host using the OpenvSwitch software switch. This approach allows you to use almost any computing device in the network as a switch/router. At the same time, the use of new technologies entails the emergence of new destabilizing factors on them, in which cyber attacks occupy a special place. Possible results of cyberattacks on SDN are blocking of the SDN controller, Open Flow control and monitoring channel, introduction of false information about the SDN network user receiving network services, violation of established regulations for collecting, processing and transmitting information to SDN, failures and failures in SDN operation, as well as compromise of transmitted or received information. The purpose of the work is to apply an integrated approach to the study of new approaches to building data transmission networks in the conditions of computer attacks, obtaining probabilistic and temporal characteristics of computer attacks characteristic of software-configurable networks, which in turn makes it possible to determine the most dangerous computer attacks, the elements subject to them, as well as to set re-quirements for a system that provides protection against the most likely impacts.
REFERENCES
1. Ananchenko I.V., Shcherbovich-Vecher A.V. Designing modern infocommu-nication networks using the technology of software-defined networks and virtual-ization of network functions. Symbol of science: international scientific journal, 2015. No. 12-1, pp. 11-13.
2. Kalmykov N.S., Dokuchaev V.A. Application of the concept of software-defined networks for building geographically distributed networks. Telecommunications and information technologies, 2020. Vol. 7. No. 2, pp. 51-56.
3. Evglevskaya N.V., Khmellyar N.A., Shinkarev S.A. Building a data transmission network as a software-defined network. Izvestia of the Tula State University. Technical sciences, 2021. No. 11, pp. 272-278.
4. Muradova A.A. Analysis of the operation of the main elements of software-defined networks used at the transport level of infocommunication networks. Prospects for the development of information technologies, 2016. No. 32, pp. 136-144.
5. Ateya A.A., Muthanna A.S., Kucheryavyi A.E. Intelligent core for 5G communication networks and tactile Internet based on software-defined networks. Elektrosvyaz, 2019. No. 3, pp. 34-40.
6. Loktionov O.V. The use of software-defined networks for building specialpurpose communication networks. Bulletin of the St. Petersburg University of the Ministry of Internal Affairs of Russia, 2017. No. 4 (76), pp. 127-130.
7. Stepanov M.D., Pavlenko E.Yu., Lavrova D.S. Detection of network attacks in software-defined networks using the isolation forest algorithm. Problems of information security. Computer Systems, 2021. No. 1, pp. 62-78.
8. Pimenova A.A., Nikitin D.D., Nikishin K.I. Modeling security scenarios in software-defined networks. Bulletin of the Ryazan State Radio Engineering University, 2022. No. 82, pp. 60-72.
Methods used: the method of topological transformation of stochastic networks used in modeling allows us to obtain parameters with a given completeness and reliability. The difference is no more 5% between the values obtained in the simulation and analytical models confirm their adequacy. The implementation of a large number of real devices in the simulation model, as well as the use of several means of collecting network statistics, allows achieving the required completeness of modeling. Significant detailing of the stages of computer attacks in the method of topological transformation of stochastic networks contributes to obtaining computational expressions that accurately describe the probabilistic-temporal characteristics of the system. The scientific novelty of the results obtained is determined by the use of the method of topological transformation of stochastic networks (TPSS) for analytical modeling of cyberattacks on SDN. Result: the presented model allows us to obtain probabilistic and temporal characteristics of computer attacks characteristic of a software-configurable network. The basis of the proposed model is a simulation model, the main purpose of which is the most accurate reproduction of the processes of a real system. The obtained values of the probabilistic-temporal characteristics of computer attacks allow us to accurately determine the most dangerous types of them, as well as the most likely places of manifestation. Practical significance: the presented method is universal and can be applied in the state system for detecting, preventing and eliminating the consequences of computer attacks when solving tasks related to ensuring public safety.
9. Kotenko I., Doynikova E. Security Assessment of Computer Networks based on Attack Graphs and Security Events. Lecture Notes in Computer Science, Vol.8407, 2014, pp. 462-471.
10. Chernov I.V., Orlov V.G. Features of software-defined networks. Telecommunications and information technologies, 2018. Vol. 5. No. 1, pp. 21-25.
11. Malafeev O.A., Zaitseva I.V., Shlaev D.V., Shmatko S.G., Breider N.A. Modeling the process of interaction in the information-computing network as a system with Markov processes. Izvestia of higher educational institutions. Instrumentation, 2021. Vol. 64. No. 6, pp. 444-451.
12. Kotenko I., Saenko I., Lauta O. Analytical modeling and assessment of cyber resilience on the base of stochastic networks conversion. Proceedings of 2018 10th International Workshop on Resilient Networks Design and Modeling, RNDM 2018. 10, 2018. P. 8489830.
13. Kotenko I., Saenko I., Lauta O., Kocinyak M. Assessment of computer network resilience under impact of cyber attacks on the basis of stochastic networks conversion. Communications in Computer and Information Science, 2018. Vol. 797, pp. 107-117.
14. Kotenko, I., Saenko, I., Lauta, O.; Analytical Modeling and Assessment of Cyber Resilience on the base of Stochastic Networks Conversion. 2018 10th International Workshop on Resilient Networks Design and Modeling (RNDM 2018), Longyearbyen, Norway, 2018, pp. 1-8.
15. Kotenko V.I., Saenko I.B., Kotsynyak M.A., Lauta O.S. Estimation of cyber stability of computer networks based on the simulation of cyber attacks by the method of transformation of stochastic networks. Proceedings of SPIIRAS, 2017. No. 6(55), pp.160-184.
INFORMATION ABOUT AUTHORS:
Igor B. Saenko, leading researcher, St. Petersburg Federal Research Center of the Russian Academy of Sciences, doctor of technical sciences, professor; St. Petersburg, Russia Igor V. Kotenko, chief researcher, St. Petersburg Federal Research Center of the Russian Academy of Sciences, doctor of technical sciences, professor, St. Petersburg, Russia
Oleg S. Lauta, professor, Admiral Makarov State University of Maritime and inland shipping, doctor of technical sciences, St. Petersburg, Russia
Sergey Yu. Skorobogatov, graduate student, Military Academy of Communications named after Marshal of the Soviet Union S.M. Budyonny, St. Petersburg, Russia
For citation: Saenko I.B., Kotenko I.V., Lauta O.S., Skorobogatov S.Yu. Computer attack models on software-configurable networks. H&ES Reserch. 2023. Vol. 15. No 1. P. 37-47. doi: 10.36724/2409-5419-2023-15-1-37-47 (In Rus)