Кибервойны программных агентов

…
… …
…

Кибервойны программных агентов:
применение теории командной
р р
работы интеллектуальных агентов
для построения киберармий
б й
И.В. Котенко

Санкт-Петербургский институт информатики и
автоматизации РАН

Positive Hack Days 2012, Москва, 30-31 мая 2012 г.

MMM-
MMM-ACNS 2012 и SA&PS4CS 2012
2012 2012

 Шестая Международная конференция
"Математические методы, модели и
архитектуры для защиты
компьютерных сетей" (MMM-ACNS-
2012)
 представление статей до 9 июня

 Второй международный семинар
р ду р д р
"Научный анализ и поддержка политик
безопасности в кибер-пространстве"
(SA&PS4CS’12)
17-20 октября 2012 г., Санкт-Петербург, Россия
http://comsec.spb.ru/mmm-acns12/
http://comsec spb ru/mmm acns12/
http://www.comsec.spb.ru/saps4cs12/


План доклада

 Введение
 Многоагентный подход к построению
киберармий
 Примеры реализаций агентов
 Особенности моделирования для задач
защиты информации
 Подход к моделированию
 Среда моделирования
р р
 Эксперименты
 Заключение

Важность и актуальность проблемы (1/4)
у р (
(1/4
• В настоящее время мы являемся свидетелями новой
фазы противостояния (“гонки вооружений”) в Интернет
между системами нападения и защиты
• В
Важными особенностями этого противостояния является
б
• повышение уровня автоматизации, мощности, изощренности и
масштабности этих систем
• использование концепции “постоянных изощренных угроз”
(“Изощренный” - обладание полным спектром методов разведки
и компрометации. “Постоянный” - предпочтение некоторой
определенной цели, постоянный мониторинг и взаимодействие с
объектом атаки для достижения) и комплексной
многоуровневой защиты;
• профессиональная разработка кибероружия и средств защиты,
увеличение количества субъектов (включая отдельные группы
злоумышленников, корпорации и страны), осуществляющих его
разработку и совершенствование.)
совершенствование )
• пример: Stuxnet -> Duqu -> Flame -> …

у р

• К
Ключевой чертой каждой из систем становится
й й й
необходимость обеспечить
• согласованное функционирование (как единой
команды) большого количества (гетерогенных)
компонентов, организованных в сеть, различные узлы
которой могут работать в различных операционных
средах, использовать различные коммуникационные
протоколы и т.п.


Централизованная и распределенная
структуры бот-сетей
ру ур бот-

Централи
Централи- Распреде
Распреде-
зованная узел “хозяин” ленная

узел “командный центр”

узлы боты (“зомби”)
( зомби”)

Цель Цель
узел “цель”
атаки атаки

Internet Relay Chat (IRC)


Пример четырехуровневой
структуры бот-сетей
ру ур бот-

Цель атаки
Архитектура сети “Storm Worm”
р ур


Пример топологии P2P бот-сети
бот-


у р

 Кроме того, системы нападения и защиты в Интернет
р , д щ р
должны обладать способностью динамически изменяться
при изменении задачи, поведения противодействующей
стороны, среды ффункционирования и т.п.
 Для реализации этих возможностей в перспективных
системах нападения и защиты необходимо обеспечить
механизмы интеллектуального поведения, и, в первую
очередь,
очередь эффективную координацию группового
поведения и адаптивность, в т.ч. способность
формировать и изменять при необходимости, как
необходимости
отдельными компонентами, так и всей системой в целом,
свои текущие цели, функционировать без вмешательства
у у
человека и осуществлять самоконтроль над своими
действиями и внутренним состоянием


у р

 Наибольшими перспективами здесь обладают технологии,
р д д ,
основанные на
 распределенном принятии решений (они смещают основной
объем вычислений по обработке данных на уровень отдельных
компонентов),
 концепции многоагентных систем (МАС) ( (она очень удобна для
б
концептуализации и декомпозиции распределенных проблем)
 архитектуре,
архитектуре ориентированной на сервис (в ней агенты могут
кооперироваться при минимуме начальной информации о
топологии сети, об агентах, присутствующих в ней, и о
, , р у у щ ,
доступных сервисах) ,
 P2P-взаимодействиях (эта технология поддерживает
реализацию свойства открытости, поскольку она не требует
использования централизованного сервера для поддержки
взаимодействия агентов)
агентов).


Метафора


Фрагмент представления множества
команд агентов в сети Интернет
Среда

Защищаемая сеть

… - Команда агентов-
- Команда агентов защиты
злоумышленников …

- Взаимодействие
- Взаимодействие агентов
агентов-злоумышленников
у
защиты
за
- Маршрут атаки

Цель и задачи работы

 Цель работы: исследование возможности применения
предлагаемого агентно-ориентированного подхода к
построению команд интеллектуальных агентов,
реализующих атаки и механизмы защиты в Интерне
(на примере различных атак, в том числе DDoS, и
защиты от бот-сетей).
 Эволюционный подход к разработке подхода
 Наибольший акцент делается на исследовании
ц д д
кооперативных и адаптивных сценариев
противодействия команд агентов атаки и защиты
 Теоретические задачи: исследование новых
механизмов реализации атак и защиты
 Прикладные задачи: оценка безопасности
р д д ц
существующих сетей, рекомендации по построению
перспективных систем защиты


Основные работы, используемые
в качестве базиса для исследований (1/2)
(1/2)
 Теория коллективного поведения и группового управления:
John von Neumann M Mesarovic, М Л Цейтлин В.И. Варшавский Д.А.
Neumann, M. Mesarovic М.Л. Цейтлин, В И Варшавский, Д А
Поспелов, В.Городецкий и др.
 Многоагентные системы: N.Jennings, M.Wooldridge, В.И.Городецкий
и др.
 Командная работа агентов: P.Cohen (общие намерения), B.Grosz,
S.Kraus (разделяемые планы); M.Tambe (комбинированные
подходы) и др.
 Системы вывода основанные на предсказании намерений и
вывода,
планов оппонента: E.Charniak (формулировка задачи распознавания
как задачи абдуктивного вывода); H.Kautz, J.Allen (распознавание
плана на основе идентификации минимального множества
высокоуровневых действий, которые достаточны для объяснения
наблюдаемых действий) и др.
др
 рефлексивные процессы: В.А.Лефевр, В.Е.Лепский и др.
 Теоретико-игровое моделирование: J.Nash, G.Zlotkin ,
р р д р ,
J.Rosenschtein, T.Sandholm, Ю.Б. Гермейер, А.И.Кондратьев и др.

Основные подходы, используемые
в качестве базиса для исследований (2/2)
• Системы кооперативных распределенных грамматик и
грамматические модели агентских систем: M ter Beek J Gaso
M.ter Beek, J.Gaso,
J.Kelemen, J.Dassow и др.
• Моделирование атак на компьютерные сети:[Ritchey et al 00, al-00,
Swiler et al-01, Ortalo et al-01, Sheyner et al-02 и др.
• Моделирование процессов защиты информации, в т.ч.
моделей аутентификации и разграничения доступа, виртуальных
частных сетей, инфраструктуры открытых ключей, обнаружения
вторжений и др.др
• Адаптивные системы: Я.З.Цыпкин, В.И.Скурихин и др.
• Обнаружение данных и знаний (data mining)
• Слияние данных и информации (data and information fusion),
• Биологические подходы к защите информации, в том числе
иммунные системы, метафора “ ф “нервная система сети” и др.
”
• и др.
(междисциплинарный характер исследований)


Интеллектуальные агенты

Интеллектуальные программные агенты – программные
у р р р р
компоненты, которые могут выполнять специфические
задачи, поставленные пользователем, и обеспечивать такую
степень интеллекта, которая позволяет выполнять эти задачи
автономно, адаптируясь к среде и взаимодействуя со средой
и другими агентами рациональным способом.

…
…

… …


Модель агента в МАС
д
 Модель агента в МАС предполагает, что
 агенты существуют в общей внешней среде, где имеются

различные ограничения на функционирование
 агенты имеют ограниченные общие ресурсы

 агенты существуют и принимают решения в условиях

неопределенности, когда каждый агент обладает
ограниченной информацией, что влечет необходимость
информацией
информационного обмена между ними
 агенты обладают ограниченной компетенцией и

возможностями, что может быть восполнено путем
привлечения знаний и фу ц
р функциональных возможностей
других агентов
 агенты должны синхронизировать свои д
д р р действия при
р
решении общей задачи

Сетевые программные агенты

 Агенты - “легкие” интеллектуальные автономные программы,
у р р ,
реализующие функции атаки или защиты.
Агенты являются мобильными или распределены по хостам сети,
сети
специализированы по типам решаемых задач и взаимодействуют
друг с другом с целью обмена информацией и принятия
согласованных решений.
 В явном виде отсутствует “центр управления” – в зависимости от
у у у
сложившейся ситуации ведущим может становиться любой из
агентов, специализирующихся на задачах управления командой
агентов.
 В случае необходимости агенты могут клонироваться и
функционирование. А
прекращать свое ф Агенты могут адаптироваться
к реконфигурации сети, изменению трафика и новым видам атак,
используя накопленный опыт
опыт.


Общие принципы координации
поведения в МАС
• В основе большинства известных методов координации МАС
лежит понятие ""совместных обязательств"
б "
(commitments) агентов, которое постулирует необходимость
выполнения агентом последовательности действий ведущей
действий,
к достижению предопределенной цели в интересах
сообщества агентов.
агентов
• Знания об обязательствах других агентов позволяют агенту
учесть при планировании поведения "общественный
общественный
контекст" и ограничения, которые он должен принимать во
внимание. Одна из ф р обязательств агента - его роль.
д форм р
• Другое важное понятие - это общественные "соглашения"
(conventions). Оно фиксирует условия, при которых
обязательства выполняются, и обстоятельства, когда агент
может или должен отказываться от исполнения взятых на
себя обязательств.
б б

Подходы к координации
группового поведения агентов (1/3)
1. Координация с помощью удовлетворения общих правил
группового поведения (social rules)
rules).
• Обычно такой подход используется в системах с заданной
организационной структурой в которой правила группового
структурой,
поведения должны строго выполняться.
• Биологический прототип такого варианта координации -
пчелиный рой или сообщества муравьев, термитов и т.п.
(“Звездный десант”)
• В таких сообществах каждый агент является простейшим
автоматом. Однако множество правил группового поведения
формирует систему, которая проявляет
высокоорганизованное поведение.
• Координация в этом случае содержит два вида деятельности:
1) поддержание организационной структуры сообщества
2) использование правил группового поведения для
определения конкретных действий агента.

2. Координация поведения на основе обмена мета –
информацией.
ф й
• Она касается, например, согласования обязательств и
правил разрешения конфликтов
• Примеры: методы распределенного планирования
[L.Gasser-92],
[L Gasser-92] методы "Частичного глобального
Частичного
планирования" ("Partial Global Planning" [Е.Durfee-88]
• Агенты информируют друг друга о своих локальных планах
и ведут переговоры для согласования своих обязательств
• Существует большое р
ущ у разнообразие конкретных
р р
реализаций этого подхода.
• Пример: Задача о восьми ферзях


(3
3. Командная работа.
• П агентов, которые сотрудничают д достижения общей
Про д для д б й
долговременной цели, функционируют в динамической
внешней среде в присутствии шума и противодействия со
стороны соперника принято говорить, что они образуют
команду агентов (пример: трафик <-> эскорт президента).
президента)
• Наличие соперничающей команды или "враждебной"
внешней среды является одной из специфических
особенностей, которая отличает командную работу от
обычной кооперации агентов в МАС.
р ц
• Здесь каждый агент имеет ограниченную информацию о
собственной команде, о внешней среде и о сопернике и
реализует собственные намерения с помощью
индивидуальных действий, исполняемых параллельно или
последовательно с действиями других агентов.
й

Роботы, принимающие участие в
соревнованиях RoboCup


Подходы и системы, реализующие
системы,
командную работу
 Классические подходы:
 Теория общих намерений [Cohen 1991]

 Теория общих планов [Grosz 1996]

 К
Комбинированный подход, система St
б й Steam [T b 1997]
[Tambe
 Системы многоагентного моделирования
 GRATE*: общая ответственность [Jennings 1995]

 OAA: доска объявлений [Martin 1999]

 CAST: общая ментальная модель [Yen 2003]

 RETSINA-MAS: комбинации всевозможных ролей агентов

[Giampapa 2002]
 Robocup soccer: ориентация на собственную модель мира

[Stankevich 1999]
 COGNET/BATON: взаимодействие людей и агентов

[Zachary 1996]
 Team-Soar: «многоуровневая теория» [Kang 2001]


Теория общих намерений
Говорят, что агент имеет слабую конечную цель p относительно условий q,
если выполняется любое из нижеследующих условий:
1. Агент сохраняет стандартную цель p, которую он стремится достичь, т.е. у агента
нет убеждения, что цель достигнута, и значит, он полагает, что цель p продолжает
оставаться долговременной целью;
2. Агент убежден, что цель (1) или достигнута (утверждение p истинно), (2) или
никогда не будет достигнута, (3) или нерелевантная (утверждение q ложно), и при
этом его текущая подцель состоит в том, чтобы сделать информацию о статусе цели
б ф
общим убеждением членов команды.
Команда агентов имеет общую долговременную цель достигнуть p при
условии q в том случае, если выполнены все нижеследующие условия:
1. Все члены команды убеждены, что выражение p в текущем состоянии ложно (т.е.
долговременная цель не достигнута)
достигнута).
2. Все члены команды знают, что все они хотят сделать выражение p истинным (т.е.
достигнуть цели).
3. Справедливо, и все члены команды это знают, что до тех пор, пока все они не
придут к общему убеждению, что (1) или выражение p истинно, (2) или p никогда не
будет истинным, (3) или что q ложно (цель нерелевантная), они будут убеждены, что
p является слабой долговременной целью в условиях q для всех членов команды.
КИИ 2004, 28 сентября-2 октября, Тверь

Комбинированный подход

• Структура команды агентов описывается в терминах иерархии
групповых и индивидуальных ролей в различных сценариях
й
действий.
• Листья иерархии отвечают ролям индивидуальных агентов,
агентов
промежуточные узлы  групповым ролям.
• Спецификация иерархии планов действий осуществляется для
каждой из ролей. Для каждого плана описываются:
(1) начальные условия, когда план предлагается для исполнения;
(2) условия, при которых план прекращает исполняться;
(3) действия, выполняемые на уровне команды, как часть общего
плана.
плана
• Спецификация иерархии планов действий осуществляется в виде
иерархии действий описываемых на различных уровнях
действий, уровнях.
• Назначение ролей и распределение планов между агентами
выполняется в д а э а а ( ) с а ала план рас редел е с в
ол е с два этапа: (1) сначала ла распределяется
терминах ролей, (2) каждой из ролей ставится в соответствие агент.

Методы построения МАС и оптимизации
командной работы
 BDI-модели (
д (Belief-desire-intention), определяемые схемами
), р д
функционирования агентов, обуславливаемыми зависимостями
предметной области
 методы распределенной оптимизации на основе ограничений
й й
(Distributed constraint optimization, DCOP) , использующие
локальные взаимодействия при поиске локального или глобального
оптимума
 методы распределенного принятия решений на основе частично-
наблюдаемых Марковских сетей (Distributed Partially Observable
Markov Decision Problems, POMDPs) , позволяющих реализовать
координацию командной работы при наличии неопределенности в
действиях и наблюдениях
 теоретико-игровые модели и модели ау ц о а, фокусирующиеся на
еоре о ро е одел одел аукциона, фо ус рующ ес а
координации среди различных команд агентов, использующих
рыночные механизмы принятия решений


Работы в области адаптации (1/3)
(1/3

 Адаптация и обучение в автоматических системах
[Я.З.Цыпкин, 1968]
[Я З Ц
 Системы адаптивного управления производством
[В.И.Скурихин,
[В И Скурихин 1984]
 Рефлексивные процессы (В.А.Лефевр, В.Е.Лепский,
Д
Д.А.Поспелов и др )
др.)
 Динамические интеллектуальные системы [Д.А.Поспелов,
Г.С.Осипов, В.Л.Стефанюк и др.]
 Адаптивное поведение (б
(биологическая метафора) )
[Редько В.Г. и др.]
 Типовая модель для динамической адаптации в
реальном времени [Silva et al.,00]
 Базовые принципы автономных вычислений
(самовосстановление, самоконфигурирование,
самооптимизация и самозащита) [Kephart et al.,03], [Want
et al.,03]
al 03]


 Саморегенеративные системы [Atighetchi et al.,04]
 Подход, основанный на использовании промежуточного
программного обеспечения [Atighetchi et al.,03], [Zou et
al.,06]
l 06]
 Архитектура Willow [Knight et al.,02]: (1) обход
неисправностей ( основе отключения уязвимых
й (на
элементов сети), (2) устранение неисправностей
(посредством замены программных элементов системы) и
(3) устойчивость к неисправностям (на базе
р
реконфигурации системы)
ф ур ц )
 Самоуправляемая координационная архитектура [Cheng
]
et al.,04]
 Подход к инкрементальной адаптации, основанный на
использовании внешних механизмов [Combs et al.,02],
[Dashofy et al.,02], [Gross et al.,01], [Oreizy et al.,99]

Cаморегенеративные системы
 Обеспечить 100% критических функций в течение всего времени
функционирования в условиях реализации атак.
 Обнаруживать собственные уязвимости для повышения живучести в
процессе функционирования
функционирования.
 Восстанавливать сервисы после атаки.
Теоретическая
производительность
Способность
обеспечения
сервисов
Первоначальная
Само-
функциональность
Устойчивая к регенеративная
Традиционная
Т вторжению система
система система (выполняет
(терпит крах) (постепенно реконфигурацию и
деградирует)) самооптимизацию))
100%-ая критическая
функциональность

Источник: Lee Badger (атака или ошибка) Время


 Искусственные иммунные системы [Ishida et al.,04].
у у [ ]
Множество различных приложений в области
компьютерной безопасности [Negoita et al.,05].
 Реализация адаптивного подхода к защите от атак
DDoS:
 способность динамического изменения поведения для
поддержки работы сетевых сервисов во время атаки
[Piszcz et al.,01]
 система SSaber ( (комплексирование различных
механизмов: обнаружение вторжений, автоматическая
установка заплат миграция процессов и фильтрация
заплат,
атак ) [Keromytis et al.,03]
 гранулярно-адаптивное обнаружение атак [Gamer et
у у
al.,06]
 принцип адаптивной защиты на основе
минимизации “стоимости” защиты [Zou et al 06]
стоимости” al.,06]

Общая архитектура агента

Окружающая
Входное среда Выходное
сообщение сообщение
Восприятие
Получатель окружающей Отправитель
входных среды исходящих
сообщений щ
сообщений БД

Процессор База знаний
входного Мета-
Буфер
уф р трафика автомат Буфер
Автомат 1
А
входных исходящих
….
сообщений Интерфейс Автомат с щ
сообщений
с пользо- самостоятельно Автомат N
активизируемым
вателем поведением

База данных диалогов агента
Агент
[Пользователь]


Реализация агентов атаки

Предложенный подход к реализации
р д д д р ц
1. Моделирование атаки базируется на задании цели атаки
атаки.
2.
2 Многоуровневое описание атаки представляется в виде: сценарий
сценарий
простые атаки трафик
атаки трафик.
3. Разработка моделей распределенных атак основана на задании
онтологии предметной области
области.
4. Формальное описание сценариев и простых атак выполнено на базе
р ц р р
семейства стохастических атрибутных грамматик
грамматик.
5. Д
Для структурирования многоуровневого описания распределенных
ру ур р ур р р д
атак используются операции подстановки грамматик
грамматик.
6. Программная реализация имитатора атак выполнена на основе
автоматной интерпретации грамматик.
7. Генерация действий (атак) злоумышленника в зависимости от реакции
атакуемой сети происходит в реальном масштабе времени.

Фрагмент онтологии атак макро-уровня
макро-
A
Разведка Сетевая атака
R
Определение IS
служб хоста ABE
Определение
приложений и заголовков
р
Определение IO UE
ОС хоста Определение Внедрение и
CI RE пользователей и реализация угрозы
Сбор дополнительной
информации групп I
IH Определение CBD Создание
Определение разделяемых ресурсов “потайных
функционирующих хостов ходов”
SPIH GAR CTСокрытие
Диапазонная проверка по DC Сканирование Получение
ping PS доступа к следов
портов ресурсам ER GAD
Proxy-
P ST TR Сбор дополнительной
сканирование Расширение Реализация информации
TCP connect -
Понятия микро- DHS сканирование привилегий угрозы
Dumb host -
ур
уровня сканирование
TCP SYN -
SFB SS сканирование CD DOS
FTP Bounce - сканирование ID “Отказ в
SF Нарушение обслуживании”
SN TCP FIN - Нарушение целостности
конфиденциальности
TCP Null - SXсканирование
сканирование
HS SU
TCP Xmas Tree - – Отношение “Часть …"
Half -сканирование -
UDP сканирование
сканирование – Отношение "Класс "
Класс…
Понятия более низких уровней
– Отношение "Последовательность…"

Задание цели атаки

Цель атаки:
<Адрес сети (хоста) Намерение злоумышленника Известные параметры сети
(хоста), злоумышленника,
(хоста), Объект атаки>.
Адрес сети (хоста):
р ( )
Примеры: 244.146.4.0, 198.24.15.0, 210.122.25.0; 244.146.4.1, 244.146.4.12 .
Известные параметры сети (хоста):
Примеры: Type of OS = ‘Windows 2000 S
f Server’, User ID = ‘Admin’.
Намерения злоумышленника:
IH, IS IO, RE UE ABE; GAR EP, GAD CD ID DOS CT CBD .
IS, IO RE, UE, GAR, EP GAD, CD, ID, DOS, CT,
Объект атаки:
1) для атак CD или ID:
[Аккаунт,]
[Процесс {<Имя процесса >/<Маска процесса>},]
[Файл {<имя файла>/<маска файла>},]
[Передаваемые данные {<имя файла (данных)>/<маска файла (данных)>}],
2) для всех атак: All (Все) – все ресурсы сети (хоста)
(хоста),
Anyone (Любой) – хотя бы один из ресурсов.

Задание атак в виде формальных грамматик

Математическая модель атак:
MA = <{ Gi } , { Su }> ,
где {G} – формальные грамматики, {Su} – операции подстановки.
Последовательности символов (“слов”) генерируемые каждой из грамматик,
( слов ), грамматик
соответствуют последовательностям действий злоумышленника.
Каждая грамматика Gi является в общем случае атрибутной стохастической
грамматикой:
Gi = <VN , VT , S, P, A > ,
где Gi – имя грамматики; VN – множество нетерминальных символов; VT – множество
терминальных символов; S  VN – аксиома грамматики;
P – множество подстановок вида
( ) X  (
(U) (Prob),
)
где X  VN,   (VT VN)*, U – условие подстановки, Prob – вероятность выбора;
A – множество атрибутов и алгоритмов их вычисления.
р у р
Операция подстановки Su(a) для грамматики G(a) имеет следующий вид:
Su(a): {a G(a)}
Эта
Э операция соответствует детализации описания сценария атак.


Автоматная интерпретация атак
Семейство взаимосвязанных автоматов задает алгоритм генерации атак, описанных в терминах
формальных грамматик
грамматик.
Основные элементы автомата:
(1) начальное, промежуточные и конечное состояния;
(2) переходы из всех состояний за исключением состояния “End”.
End
Типы промежуточных состояний:
(1) нетерминальные (инициализирующие работу вложенных автоматов);
(2) терминальные ( (взаимодействующие с моделью атакуемой сети – конкретные действия
й й й
злоумышленника).
Переходы являются аналогами грамматических правил подстановки.
Атрибуты состояний:
(1) Rule – номер правила перехода;
(2) P – вероятность выбора альтернативного перехода (из одного состояния);
(3) K – коэффициент нормализации вероятностей (для рекурсивных правил K<1, для остальных
правил, как правило, K=1);
(4) State – состояние достигаемое при выполнении правила перехода;
состояние,
(5) Attributes – дополнительные атрибуты (информация о хосте или целой сети), передаваемые
при переходе в новое состояние;
(6) A ti
Actions – действия, которые необходимо выполнить после перехода в состояние, выбранное
й б б
из таблицы переходов.

Диаграмма взаимодействия автоматов
A

R P P I

P P P P
IH P IS P IO RE P UE P ABE GAR P EP P GAD P TR P CT P P CBD
P P P P P P

P
CI
EP_MSG GAD_MSG

SPIH SPIS ENS IAUS RCE DCSR IBSD PSA CSS AVR CVR IVR

UFPS RRM EKV ACE DS

IH_MSG SPIS_MSG IO_MSG CI_MSG ENS_MSG RE_MSG UE_MSG ABE_MSG GAR_MSG CVR_MSG IVR_MSG CT_MSG CBD_MSG


Пример автомата R (“Разведка”)
(“Разведка”)
R

0) (1-12)

IR1

1) R -> IH R1 (1)
2) R -> IH R2 (7-12)

3) R-> IS R1 (2)
10) R1-> IH R1
R1 > (1) IH
4) R-> IS R3 (7-12)
IR1 – промежуточное состояние
5) R-> IO R1
6) R-> IO R4
(3)
(7-12)
11) R2-> IS R3 (7-12)
IH – Определение
12) R2-> IO R4 (7-12) IS 14) R1-> IS R1 (2) функционирующих
7) R -> RE R1 (4) 15) R3-> IO R4 (7-12) хостов
17) R1 -> IO R1 (3) IO 8) R -> UE R1 (5)
IS – Определение служб хоста
9) R -> ABE R1 (6) 18) R4 CI R5 (7-12)
R4-> (7 12)
IO – Определение ОС хоста
р
CI – Сбор дополнительной
CI
информации
RE – Определение разделяемых
20) R5 -> RE R6 (7-12)

13) R1 -> End (1)
21) R1-> RE R1 (4) RE
ресурсов
16) R1 -> End (2) 22) R6-> UE R7 (7-12) UE – Определение групп и
24) R1-> UE R1 (5) UE 19) R1 -> End (3) пользователей
23) R1 -> End (4) 25) R7-> ABE R8 (7-12)
ABE – Определение приложений и
27) R1-> ABE R1
) ( )
(6) ABE 26) R1 -> End (5) заголовков
28) R1 -> End (6)
29) R8-> End (7-12)

End

Интерфейс пользователя
для задания задачи атаки

Основные элементы
спецификации атаки:
1) Намерение злоумышленника
(1-12);
2) Адрес атакуемого хоста или
сети;
3) Имеющаяся информация об
атакуемом хосте;
4) Объект атаки (имя файла,
файла
идентификатор пользователя,
ресурс и др.);


Окно визуального представления развития атаки
на макро-уровне
макро-
Спецификация задачи
ц ф ц д
атаки

Дерево генерации атаки

Д
Действия
злоумышленника

Признак успеха (неуспеха)
и данные, полученные от
атакованного хоста
(реакция хоста)
( )


Обобщенная архитектура системы обнаружения
вторжение (МСОВ)

Интерфейс пользователя

Хост S1
Х Хост T
Х
Входной
трафик
… Компоненты МСОВ Компоненты МСОВ
Сообщение
щ
…

Компоненты МСОВ Компоненты МСОВ

Хост S2
Х Хост F
Х

Архитектура компонентов МСОВ на хосте

Компоненты МСОВ
1. 2. 3. От агентов
2
АIA хоста
1 6
AD-E 3
ACA IDA1
Архив
4 событий,
б й
AD–P1 7 зафиксированных
IDA2 на хосте
5
Timer AD–P2

Хост S1

Интерфейс
Хост F Хост T Хост S2 пользователя

1., 2., 3. – уровни обработки; 1, 2, …, 7 – типы агентов.

Функции базовых агентов МСОВ
у

 AD-E (AD-Events) — предварительная обработка сообщений
AD- AD-
и фиксация значимых событий.
 AIA, ACA — идентификация источников сообщений и
AIA,
подтверждение их подлинности, регламентация доступа
к ресурсам обнаружение и прерывание несанкционированных
ресурсам,
действий.
 AD-P1, AD-P2 (AD-Patterns) — обнаружение паттернов
AD- AD- (AD-
“подозрительных” событий или очевидных атак (например,
finger, b ff overflow; port scanning, syn-flood) и реагирование
fi buffer fl t i fl d)
на данные события.
 IDA1, IDA2 — высокоуровневая обработка и обобщение
IDA1 IDA2
обнаруженных событий (spoofing–атаки, распределенные
многофазные атаки), прогнозирование последующих событий.

Визуализация обмена сообщениями
между агентами
ду
(в процессе обработки атаки Port Scanning)
Scanning

Msg 41

Msg 42

Msg 43

Содержание сообщений в полной (на XML и сокращенной форме (агенты AD-E, AD-P2
XML) AD- AD-
и IDA2 хоста S1 взаимодействуют посредством обмена сообщениями ## 41–43)


 Примеры реализаций агентов
 Особенности моделирования для
задач защиты информации
р р

Общие этапы моделирования для решения
задач защиты информации

 Построение модели защищаемой системы
 Построение о е
Пос рое е модели противника ( ар
ро а (нарушителя)
е )
 Определение свойств компонентов защиты
 Моделирование и анализ выполнения этих свойств
при реализации атак противника (нарушителя)

 Проверка р у
р р результата моделирования
д р
 При данных допущениях о системе реализация

атак не приведет к нарушению заданных свойств
 Не существует “абсолютной” защищенности


Метод явного учета нарушителя
у ру

Описание
системы
Формальная Модель
защиты спецификация нарушителя

Определение
Формальный анализ
ошибки,
/ моделирование
модификация
системы


Фундаментальный компромисс между
сложностью модели и ее адекватностью

 Модели абстрактны и сильно упрощены
 Отдельные компоненты моделирования представляются,
как правило как конечные автоматы
правило,
 Функции защиты, как правило, специфицируются как
абстрактные типы данных
р
 Свойства защиты формулируются, как правило, как
недостижимость “плохого” состояния
 Существует множество методов анализа свойств, многие
из них автоматизированы …, но не являются полностью
достоверными
 Доказательства в модели выполняются на основе ряда
у р щ щ д ущ
упрощающих допущений, которые игнорируют некоторые
, р р ру р
возможности нарушителя
 Атака в формальной или имитационной модели “влечет”
реальную атаку


Области использования моделирования
для задач защиты информации
 Анализ влияния (Impact assessment) для определения, каким
образом механизмы защиты воздействуют на защищаемую систему и
ее целевые свойства (безопасность, производительность,
надежность и др.) [D.Nicol, S.Smith, M.Zhao-04 ; S.Kent, C.Lynn, K.Seo-
д др ) [ , , , y ,
00 (Secure BGP); M.Zhao, S.Smith, D.Nicol-05; etc.]
 Эмуляция, при которой реальные и виртуальные компоненты
у ц , р р р р у
(“миры”) комбинируются для изучения взаимодействия между
системами защиты и нарушителем и выявления уязвимостей
системы защиты [G Bakos V Berk 02 (Worm activity by metering ICMP);
[G.Bakos, V.Berk-02
M. Liljenstam et al-03 (Simulating worm traffic); etc.]
 Тренировки по реализации атак и сценарии обучения
[M. Liljenstam et al-05 (RINSE); B. Brown et al-03; etc.]
 Анализ рисков базирующихся на известных уязвимостях и
рисков,
параметрах конфигурации системы [R. Ortalo, Y.Deswarte,
M.Kaaniche-99; Sheyner et al-02; V.Gorodetski, I.Kotenko-02 (Attack
; y ; , (
Simulator); B.Madam, K.Goseva-Popstojanova-02; etc.]

Компоненты, используемые при
моделировании сетевых процессов (1/2)
(1/2)
• Топология. Типовых топологий локальных сетей не существует.
Можно строить модель, используя древовидную топологию или на
основе конкретной сети. Для моделирования Интернет-топологий
применяются случайные графы, построенные на основе
графы
определенных функциональных зависимостей [Mahadevan et al., 05],
[Mahadevan et al., 06]
• Каналы передачи данных. Традиционно используются такие
параметры как пропускная способность канала и задержка
распространения сигнала
• Протоколы. Для моделирования сетевых процессов необходимо
моделирование большого числа протоколов Основными являются
протоколов.
протоколы сетевого и транспортного уровней. В ряде имитаторов сети
(на пакетном уровне) присутствуют модели различных протоколов
(однако затруднительно проверить их достоверность). Точность
моделирования протоколов заметно отличается. При этом необходимо
моделировать протоколы с точностью до отдельных пакетов
пакетов,
заголовков и управляющих флагов

Компоненты, используемые при
моделировании сетевых процессов (2/2)
(2/2)
• Приложения. Большинство приложений предлагается
моделировать на уровне трафика, а отдельных, наиболее важных
для исследования (модели вредоносных программ, исследуемых
механизмов защиты) - на уровне логики работы
• Трафик. Существует ряд подходов к генерации трафика:
• генерация трафика приложений для имитации нагрузки канала
связи
• генерация трафика, используя моделирование на ур
р ц р ф у д р уровне
источника
• генерация трафика с использованием структурной модели
• генерация трафика на основе данных о поведении узлов на
уровне их коммуникаций
• использование для генерации записей реального трафика
• Узлы. Узел определяется своим предназначением (роутер, свитч,
хост и т.д.), содержит определенный стек протоколов и отличается
тд )
набором установленных на нем приложений


 Особенности моделирования для задач
защиты информации
р


Основные положения подхода (1/2)
1/2

 Кибернетическое противоборство представляется в виде
р р р р
взаимодействия различных команд программных агентов
 Процессы происходят в среде, задаваемой моделью
Интернета
 Выделяются команды агентов атаки, защиты и
пользователей
 Команды взаимодействуют между собой:
противоборствуют, кооперируются, адаптируются
 Команда агентов-злоумышленников эволюционирует
посредством генерации новых экземпляров и типов атак,
а также сценариев их реализации с целью преодоления
подсистемы защиты
 Команда агентов защиты адаптируется к действиям
злоумышленников путем изменения исполняемой
политики безопасности, формирования новых
экземпляров механизмов и профилей защиты

Основные положения подхода (2/2)
(2/2

 Цель команды агентов-злоумышленников
состоит в определении уязвимостей и реализации
угроз информационной безопасности посредством
выполнения распределенных скоординированных
атак
 Цель команды агентов защиты состоит в защите
компьютерной сети и себя от атак
Команда 1
Команда-1
Команда-2
 Агенты противоборствующих
команд соперничают для
достижения противоположных
намерений.
 Агенты одной команды Цель
сотрудничают для достижения атаки
общего намерения
Команда-N

Процедуры поддержки командной работы

1. Процедуры обеспечения со асо а ос действий
1 Про е р обес е е согласованности ейс й
агентов в команде (группе, индивидуально) по
некоторому общему плану
2. Процедуры мониторинга и восстановления
функциональности команды (
ф (группы, индивидуально)
д д )
за счет переназначения “утерянных” ролей тем членам
команды,
команды которые в состоянии выполнить эту работу,
работу
или клонирования новых агентов
3. Процедуры обеспечения селективности
3 П б
коммуникаций основываются на расчете важности того
или иного сообщения с учетом его “стоимости”
“стоимости”,
возможности компрометации и выгоды, получаемой при
этом

Модель взаимодействия команд агентов


Реализация сценариев (1/3)
(1/3

 Д
Для выполнения экспериментов были реализованы:
р р
 сценарии функционирования бот-сети (включая сценарии
распространения бот-сети, управления бот-сетью и
реализации атак),
 сценарии сдерживания бот-сети и противодействия атакам,
 сценарии легитимной деятельности вычислительной сети.
й й
 Сценарии распространения бот-сети:
 сценарии поиска новых узлов, пригодных к компрометации,
 их идентификации и последующей компрометации,
 подключения инфицированных узлов в б
ф бот-сеть.
 Сценарий распространения бот-сети, использованный в
экспериментах,
экспериментах основывается на модели распространения
сетевого червя посредством эксплуатации уязвимости
сетевых служб. После активации “уязвимого” сервиса
служб уязвимого сервиса,
компьютер считается зараженным.

Основные параметры сценариев
распространения (1/2)
 Транспортный протокол (Transport p
р р р ( p protocol): TCP, UDP
) ,
 Тип закрытия соединения (End of connection) (только для
TCP):
 Полное закрытие TCP-соединения

 Неполное закрытие TCP-соединения

 Размер пакета (Packet size)
 Частота генерации пакетов (Scan speed) (число пакетов
(соединений),
(соединений) генерируемых в секунду)
 Изменение скорости сканирования (Scan speed variation).
Скорость,
Скорость с которой червь производит сканирование может
быть постоянной или изменяться (в том числе случайным
образом)
 Методика подмены сетевого адреса и порта (Address and port
spoofing)
 Число используемых адресов (N b of addresses used)
Ч (Number f dd d)

Основные параметры сценариев
распространения (2/2)
 Тип сканирования (Scan type) ( р
р ( yp ) (стратегия сканирования
р
или методика выбора адреса узла- получателя и порта):
 случайное сканирование (random-scanning)

 последовательное сканирование (sequential-
scanning)
 частичное сканирование ( (partition-scanning)
titi i )
 локальное сканирование или сканирование на
основе предпочтения локальных адресов (local-
(local
preference-scanning)
 сканирование по хит-листам, т.е. по заранее
хит листам,
составленным спискам уязвимых узлов, которые
содержат атакуемый сервис, необязательно
уязвимый, после этого черви выполняют случайное
й й
сканирование (hitlist-scanning)
 …

(2


(3

 Сценарий у р
р управления задается процедурой отправки
р ур р
сообщения о статусе нового узла на сервер “командный
центр” с последующим ожиданием поступления команд
со стороны сервера.
 Одним из примеров р
д р р реализованных сценариев атаки
ц р
бот-сети является атака вида UDP Flood, проводимая
по отношению к некоторому узлу, IP-адрес которого
указан в составе команды начала атаки.
 В настоящей работе р
щ р реализовано несколько сценариев
ц р
сдерживания бот-сети и противодействия атакам:
 без кооперации;
р
 с кооперацией типа DefCOM;
 с кооперацией типа COSSACK;
 с полной кооперацией.

Команда атаки

Cattack  M , A Демон
Цель
Демон
атаки
Злоумышленник Мастер DDoS
…
Демон

 Атака DDoS: глобальная цель достигается скоординированными
усилиями многих компонентов
 “Демон (demon)” – исполнитель атаки
 В начале работы посылает «мастеру» свой адрес и порт
 “Мастер (master)” – координатор атаки
 Составляет список работоспособных «демонов»
 Получает команду атаки от злоумышленника
 Посылает работоспособным «демонам» команду атаки: IP
адрес и порт цели, интенсивность (пакетов в секунду)

Команда защиты

Cdefense  S , D, F , L, I 
f
Фильтр Ограничитель Агент атаки

Защищаемый
узел Сэмплер Детектор Агент
расследования
Агент “сэмплер (sampler)”
• Сбор модельных д
р д данных д каждого у
для д узла по сетевым пакетам
• Выдача модельных данных на запрос «детектора»
Агент “детектор (detector)”
• Прием сообщения о работоспособности других агентов
• Запрос данных от «сэмплеров»
• Прием р
р решения об атаке
• Посылка сообщения со списком подозрительных узлов «фильтру» и
агенту «расследования», директиву ограничивать трафик
Агент «фильтр (filter) – прием данных от «детектора» и фильтрация
фильтр (filter)» детектора
Агент «ограничитель (limiter)» – ограничение трафика
Агент «расследования (investigator)» – отслеживание источника
р д ( g )
атаки и его обезвреживание

Исследования по механизмам защиты
от распространения
 Разработаны р
р различные механизмы, основанные на
,
ограничении скорости (интенсивности) установления
сетевых соединений (“Rate Limiting”).
 Вильямсон [Williamson, 02-1] предлагает ограничивать
число различных IP-соединений конечного узла.
 Чен
Ч и др. [Ch et al., 04 2] и Ш
[Chen t l 04-2] Шехтер и др. [S h ht et al.,
[Schechter t l
04] применяют ограничения к узлам, которые
демонстрируют большое количество незавершенных или
неустановленных (failed) соединений.
 Вонг и др. [Wong et al., 05] предлагают использовать
др [ g , ] р д
механизмы “Rate Limiting”, основанные на DNS-
статистике.
 …
 Обзор работ - Котенко И.В. Автоматическое обнаружение и
сдерживание распространения Интернет-червей: краткий анализ
Интернет червей:
современных исследований // Защита информации. Инсайд, № 4,
2007. С.46-56.

Метрики для обнаружения бот-сетей (1/3)
бот- (1/3)

Отклик Синхронизация
Бот

C&C Бот Объект
Master
атаки

Бот
Отношения

Возможная интерпретация:
 Отношение – количество активных клиентов в канале (IRC)
( )
 Отклик – время отклика клиентов на запрос
 Синхронизация – синхронизм трафика, посланного
клиентами
[Akiyama, etc., 2007]

бот-

Отклик



бот-

Синхронизированный трафик

IRC- р ф бот-
IRC-трафик бот-сети

IRC-
IRC-трафик обычных
пользователей
й


Примеры методов обнаружения
вредоносного трафика

 Hop counts Filtering (HCF): заключается в формировании таблиц
p g( ) ф р р ц
подсетей и количества скачков до них. Предполагается, что пакеты из
одной и той же сети проходят от отправителя до получателя
одинаковое количество хопов (
д (скачков). Вначале составляется
)
таблица, в которой узлы группируются по количеству хопов. При
обнаружении атаки система, реализующая HCF, вычисляет
количество хопов пришедшего пакета и сравнивает его с табличным
значением.
 Source IP address monitoring (SIPM): используется предположение,
что во время атаки появляется большое количество новых адресов
р др
клиентов. Вначале производится формирование базы IP-адресов
“легитимных” клиентов. В реальном времени система собирает
статистику по пакетам – количество новых для системы IP-адресов за
заданные отрезки времени. Е Если эта величина остается в пределах
нормы, то новые адреса заносятся в базу, если нет – осуществляется
фильтрация.
 Bit Per Second (BPS): позволяет обнаружить атакующих по
превышению порога нормального трафика. Вначале определяется
«допустимый» порог для трафика на основе запросов легитимных
клиентов.


Кооперативные механизмы защиты

 Модели кооперативного взаимодействия:
 DefCOM [J.Mirkovic, etc., 2005]: “Alert generator”, “Rate limiter”,

“Classifier”
Classifier
 COSSACK [C.Papadopoulos, 2003]: “snort”, “watchdog”, filter

Предложенные:
 без кооперации;

 кооперация на

уровне фильтров;
 кооперация на

уровне сэмплеров;
 слабая кооперация;

 полная кооперация.


Кибервойны программных агентов

Кибервойны программных агентов

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Ähnlich wie Кибервойны программных агентов

Ähnlich wie Кибервойны программных агентов (20)

Mehr von Positive Hack Days

Mehr von Positive Hack Days (20)

Kürzlich hochgeladen

Kürzlich hochgeladen (9)

Кибервойны программных агентов