текущего пользователя отличается от оригинального, и, если зафиксировано устойчивое отклонение, просит повторить аутентификацию и посылает сообщение системному администратору. В качестве основных признаков пользователя используются сообщения от мыши и клавиатуры в привязке к конкретным приложениям. Одной из важных задач в борьбе с атаками является их предупреждение. В каждой системе имеются свои узкие места, которые и используются злоумышленниками. Поэтому еще одним важным разделом проекта стала система анализа защищенности операционной системы. Проверяются права доступа к разделяемым ресурсам - файловые и реестровые, политики безопасности системы в целом и отдельных приложений, установленные обновления операционной системы и средств обеспечения безопасности, автозапускаемые приложения, открытые порты. В заключение создается подробный отчет для информирования администратора. Работа всех компонент системы подробным образом журналируется, имеются развитые средства визуализации и анализа этих результатов. Таким образом, предлагаемая система является комплексом, призванным противостоять различным типам атак как внешних, так и внутренних.
Работа поддержана грантом РФФИ №03-07-90075.
Е.С. Абрамов Россия, г. Таганрог, ТРТУ
СИСТЕМА АНАЛИЗА ЗАЩИЩЁННОСТИ ОТ СЕТЕВЫХ АТАК
В последнее время в рамках обеспечения информационной безопасности активно развивается направление адаптивной безопасности сети, включающие в себя технологии обнаружения атак и анализа защищённости. Последняя технология предназначена для оценки эффективности защиты компонентов сети.
Программа предназначена для моделирования сетевых атак и анализа защищённости удалённой сети или конкретного хоста, а также для создания интерактивных тестов для тестирования систем обнаружения атак. В состав комплекса входят: модуль, отправляющий и принимающий сетевые пакеты, интерпретатор языка описания атак, набор скриптов, представляющих собой описание сетевых атак или сбора информации. Специально для программы был разработан язык описания сетевых атак. Поскольку большинству существующих сканеров безопасности присущ общий недостаток - они используют базу данных уязвимостей, которая не позволяет обнаруживать новые уязвимости. Разработанная программа использует написанные пользователем скрипты для имитации низкоуровневых атак или сбора информации. Имитация атак позволяет с большей эффективностью, чем другие способы, обнаруживать уязвимости на сканируемых узлах. Имитация атак также является более надежным способом анализа защищенности, поскольку позволяет как бы «подтолкнуть» уязвимость, ничем себя ранее не проявившую. Для этого против подозрительного сервиса или узла запускаются реальные атаки и получаются данные о реальном состоянии защиты. Основным модулем программы является модуль генерации сетевого трафика, основанный на архитектуре захвата пакетов WinPcap. Он позволяет формировать сетевые пакеты, описывая параметры пакетов, при помощи которых моделируются различные атаки. К таким параметрам можно отнести флаги в заголовке IP-пакета, IP и MAC адреса, номера портов в заголовке TCP-пакета, поля данных в пакетах различных протоколов. Таким образом программа позволяет имитировать такие атаки, которые невозможно сымитировать на языке высокого уровня. Программа позволяет формировать и отсылать пакеты по протоколам TCP, UDP и ICMP. Язык программирования скриптов позволяет программисту обращаться практически к любым параметрам IP-пакета и
модифицировать их в режиме реального времени. Поскольку язык предоставляет функции приёма и анализа пакетов, программа позволяет контролировать соединение и оперативно реагировать на любые изменения состояния соединения.
Используя пользовательские скрипты система позволяет не зависит от фиксированной базы уязвимостей и создавать более полные тесты для определения уязвимостей. Другая область применения программы - тестирование систем обнаружения атак. В настоящее время не существует стандартизированных средств, осуществляющих атакующие действия, которые можно было рекомендовать для проведения испытаний. Поскольку СОА становятся всё более совершенными и более интегрированными в систему, подход к их тестированию, основанный на посылке отдельных пакетов, содержащих сигнатуры атак, или на генерации псевдослучайного трафика, становится всё более бесполезным и не отражающим реальных возможностей тестируемых СОА. При проведении тестов нельзя использовать средства, генерирующие «случайный» трафик, поскольку трафик с такими характеристиками не встречается в реальной сети. Также нежелательно использовать средства, генерирующие отдельные пакеты, содержащие различные сигнатуры атак, и отправляющие их в сеть. Такой трафик лишь с большой натяжкой можно назвать трафиком, эмулирующим реальную атаку. Используя разработанный язык написания скриптов, можно разработать тесты, имитирующие реальный трафик, например, установку и поддержание соединения с атакуемым хостом, посылку пакетов, содержащих вредоносный трафик и завершение соединения. Также, используя возможность модуля перехвата и посылки пакетов сохранять перехваченные пакеты на жесткий диск, можно предложить другой сценарий тестирования. Необходимо перехватывать и сохранять весь трафик между тестируемыми хостами (входящий и исходящий), и, таким образом, собрать достаточное количество данных, характеризующих реальный трафик между атакующей и атакуемой сетями или машинами.
Данные должны быть разбиты на группы пакетов, представляющие собою завершенные сессии, т.е. установление соединения, передачу данных, завершение соединения. Такие наборы данных должны быть сохранены в отдельные файлы, с тем, чтобы в дальнейшем их можно было комбинировать друг с другом, представляя трафик различной интенсивности и эмулируя различные типы сетей (веб-сайт, файл-сервер, локальная сеть предприятия и др.). При накоплении достаточного объёма сохранённого трафика можно переходить к его подготовке для использования в тестировании возможностей СОА для обнаружения атак. В сохранённый «нормальный» трафик вводится трафик с заданными характеристиками, например, пакеты, перехваченные после запуска любого средства генерации атак. После этого модифицированный трафик используется в качестве входных данных для программы генерации сетевого трафика. Такие тесты наиболее похожи на реальный сетевой трафик и поэтому позволяют получить наиболее полное и правдивое представление о возможностях системы обнаружения атак.
Ф.А Косолапов, О.Б. Макаревич, О.Ю. Пескова, С.В. Чередниченко
Россия, г. Таганрог, ТРТУ
РЕАЛИЗАЦИЯ ДИСКРЕЦИОННОЙ МОДЕЛИ С ИЗОЛИРОВАННЫМ ДОСТУПОМ В СИСТЕМЕ БЛОКИРОВАНИЯ ПОВЕДЕНИЯ
Введение
Уже более десяти лет ведется упорная борьба между создателями вирусов и разработчиками антивирусных программ. На свет выходят все новые и новые чер-