1. …
… …
…
Кибервойны программных агентов:
применение теории командной
р р
работы интеллектуальных агентов
для построения киберармий
б й
И.В. Котенко
Санкт-Петербургский институт информатики и
автоматизации РАН
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
2. MMM-
MMM-ACNS 2012 и SA&PS4CS 2012
2012 2012
Шестая Международная конференция
"Математические методы, модели и
архитектуры для защиты
компьютерных сетей" (MMM-ACNS-
2012)
представление статей до 9 июня
Второй международный семинар
р ду р д р
"Научный анализ и поддержка политик
безопасности в кибер-пространстве"
(SA&PS4CS’12)
17-20 октября 2012 г., Санкт-Петербург, Россия
http://comsec.spb.ru/mmm-acns12/
http://comsec spb ru/mmm acns12/
http://www.comsec.spb.ru/saps4cs12/
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
3. План доклада
Введение
Многоагентный подход к построению
киберармий
Примеры реализаций агентов
Особенности моделирования для задач
защиты информации
Подход к моделированию
Среда моделирования
р р
Эксперименты
Заключение
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
4. Важность и актуальность проблемы (1/4)
у р (
(1/4
• В настоящее время мы являемся свидетелями новой
фазы противостояния (“гонки вооружений”) в Интернет
между системами нападения и защиты
• В
Важными особенностями этого противостояния является
б
• повышение уровня автоматизации, мощности, изощренности и
масштабности этих систем
• использование концепции “постоянных изощренных угроз”
(“Изощренный” - обладание полным спектром методов разведки
и компрометации. “Постоянный” - предпочтение некоторой
определенной цели, постоянный мониторинг и взаимодействие с
объектом атаки для достижения) и комплексной
многоуровневой защиты;
• профессиональная разработка кибероружия и средств защиты,
увеличение количества субъектов (включая отдельные группы
злоумышленников, корпорации и страны), осуществляющих его
разработку и совершенствование.)
совершенствование )
• пример: Stuxnet -> Duqu -> Flame -> …
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
5. Важность и актуальность проблемы (2/4)
у р
• К
Ключевой чертой каждой из систем становится
й й й
необходимость обеспечить
• согласованное функционирование (как единой
команды) большого количества (гетерогенных)
компонентов, организованных в сеть, различные узлы
которой могут работать в различных операционных
средах, использовать различные коммуникационные
протоколы и т.п.
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
6. Централизованная и распределенная
структуры бот-сетей
ру ур бот-
Централи
Централи- Распреде
Распреде-
зованная узел “хозяин” ленная
узел “командный центр”
узлы боты (“зомби”)
( зомби”)
Цель Цель
узел “цель”
атаки атаки
Internet Relay Chat (IRC)
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
7. Пример четырехуровневой
структуры бот-сетей
ру ур бот-
Цель атаки
Архитектура сети “Storm Worm”
р ур
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
8. Пример топологии P2P бот-сети
бот-
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
9. Важность и актуальность проблемы (3/4)
у р
Кроме того, системы нападения и защиты в Интернет
р , д щ р
должны обладать способностью динамически изменяться
при изменении задачи, поведения противодействующей
стороны, среды ффункционирования и т.п.
Для реализации этих возможностей в перспективных
системах нападения и защиты необходимо обеспечить
механизмы интеллектуального поведения, и, в первую
очередь,
очередь эффективную координацию группового
поведения и адаптивность, в т.ч. способность
формировать и изменять при необходимости, как
необходимости
отдельными компонентами, так и всей системой в целом,
свои текущие цели, функционировать без вмешательства
у у
человека и осуществлять самоконтроль над своими
действиями и внутренним состоянием
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
10. Важность и актуальность проблемы (4/4)
у р
Наибольшими перспективами здесь обладают технологии,
р д д ,
основанные на
распределенном принятии решений (они смещают основной
объем вычислений по обработке данных на уровень отдельных
компонентов),
концепции многоагентных систем (МАС) ( (она очень удобна для
б
концептуализации и декомпозиции распределенных проблем)
архитектуре,
архитектуре ориентированной на сервис (в ней агенты могут
кооперироваться при минимуме начальной информации о
топологии сети, об агентах, присутствующих в ней, и о
, , р у у щ ,
доступных сервисах) ,
P2P-взаимодействиях (эта технология поддерживает
реализацию свойства открытости, поскольку она не требует
использования централизованного сервера для поддержки
взаимодействия агентов)
агентов).
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
12. Фрагмент представления множества
команд агентов в сети Интернет
Среда
Защищаемая сеть
… - Команда агентов-
- Команда агентов защиты
злоумышленников …
- Взаимодействие
- Взаимодействие агентов
агентов-злоумышленников
у
защиты
за
- Маршрут атаки
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
13. Цель и задачи работы
Цель работы: исследование возможности применения
предлагаемого агентно-ориентированного подхода к
построению команд интеллектуальных агентов,
реализующих атаки и механизмы защиты в Интерне
(на примере различных атак, в том числе DDoS, и
защиты от бот-сетей).
Эволюционный подход к разработке подхода
Наибольший акцент делается на исследовании
ц д д
кооперативных и адаптивных сценариев
противодействия команд агентов атаки и защиты
Теоретические задачи: исследование новых
механизмов реализации атак и защиты
Прикладные задачи: оценка безопасности
р д д ц
существующих сетей, рекомендации по построению
перспективных систем защиты
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
14. Основные работы, используемые
в качестве базиса для исследований (1/2)
(1/2)
Теория коллективного поведения и группового управления:
John von Neumann M Mesarovic, М Л Цейтлин В.И. Варшавский Д.А.
Neumann, M. Mesarovic М.Л. Цейтлин, В И Варшавский, Д А
Поспелов, В.Городецкий и др.
Многоагентные системы: N.Jennings, M.Wooldridge, В.И.Городецкий
и др.
Командная работа агентов: P.Cohen (общие намерения), B.Grosz,
S.Kraus (разделяемые планы); M.Tambe (комбинированные
подходы) и др.
Системы вывода основанные на предсказании намерений и
вывода,
планов оппонента: E.Charniak (формулировка задачи распознавания
как задачи абдуктивного вывода); H.Kautz, J.Allen (распознавание
плана на основе идентификации минимального множества
высокоуровневых действий, которые достаточны для объяснения
наблюдаемых действий) и др.
др
рефлексивные процессы: В.А.Лефевр, В.Е.Лепский и др.
Теоретико-игровое моделирование: J.Nash, G.Zlotkin ,
р р д р ,
J.Rosenschtein, T.Sandholm, Ю.Б. Гермейер, А.И.Кондратьев и др.
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
15. Основные подходы, используемые
в качестве базиса для исследований (2/2)
• Системы кооперативных распределенных грамматик и
грамматические модели агентских систем: M ter Beek J Gaso
M.ter Beek, J.Gaso,
J.Kelemen, J.Dassow и др.
• Моделирование атак на компьютерные сети:[Ritchey et al 00, al-00,
Swiler et al-01, Ortalo et al-01, Sheyner et al-02 и др.
• Моделирование процессов защиты информации, в т.ч.
моделей аутентификации и разграничения доступа, виртуальных
частных сетей, инфраструктуры открытых ключей, обнаружения
вторжений и др.др
• Адаптивные системы: Я.З.Цыпкин, В.И.Скурихин и др.
• Обнаружение данных и знаний (data mining)
• Слияние данных и информации (data and information fusion),
• Биологические подходы к защите информации, в том числе
иммунные системы, метафора “ ф “нервная система сети” и др.
”
• и др.
(междисциплинарный характер исследований)
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
16. План доклада
Введение
Многоагентный подход к построению
киберармий
Примеры реализаций агентов
Особенности моделирования для задач
защиты информации
Подход к моделированию
Среда моделирования
р р
Эксперименты
Заключение
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
17. Интеллектуальные агенты
Интеллектуальные программные агенты – программные
у р р р р
компоненты, которые могут выполнять специфические
задачи, поставленные пользователем, и обеспечивать такую
степень интеллекта, которая позволяет выполнять эти задачи
автономно, адаптируясь к среде и взаимодействуя со средой
и другими агентами рациональным способом.
…
…
… …
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
18. Модель агента в МАС
д
Модель агента в МАС предполагает, что
агенты существуют в общей внешней среде, где имеются
различные ограничения на функционирование
агенты имеют ограниченные общие ресурсы
агенты существуют и принимают решения в условиях
неопределенности, когда каждый агент обладает
ограниченной информацией, что влечет необходимость
информацией
информационного обмена между ними
агенты обладают ограниченной компетенцией и
возможностями, что может быть восполнено путем
привлечения знаний и фу ц
р функциональных возможностей
других агентов
агенты должны синхронизировать свои д
д р р действия при
р
решении общей задачи
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
19. Сетевые программные агенты
Агенты - “легкие” интеллектуальные автономные программы,
у р р ,
реализующие функции атаки или защиты.
Агенты являются мобильными или распределены по хостам сети,
сети
специализированы по типам решаемых задач и взаимодействуют
друг с другом с целью обмена информацией и принятия
согласованных решений.
В явном виде отсутствует “центр управления” – в зависимости от
у у у
сложившейся ситуации ведущим может становиться любой из
агентов, специализирующихся на задачах управления командой
агентов.
В случае необходимости агенты могут клонироваться и
функционирование. А
прекращать свое ф Агенты могут адаптироваться
к реконфигурации сети, изменению трафика и новым видам атак,
используя накопленный опыт
опыт.
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
20. Общие принципы координации
поведения в МАС
• В основе большинства известных методов координации МАС
лежит понятие ""совместных обязательств"
б "
(commitments) агентов, которое постулирует необходимость
выполнения агентом последовательности действий ведущей
действий,
к достижению предопределенной цели в интересах
сообщества агентов.
агентов
• Знания об обязательствах других агентов позволяют агенту
учесть при планировании поведения "общественный
общественный
контекст" и ограничения, которые он должен принимать во
внимание. Одна из ф р обязательств агента - его роль.
д форм р
• Другое важное понятие - это общественные "соглашения"
(conventions). Оно фиксирует условия, при которых
обязательства выполняются, и обстоятельства, когда агент
может или должен отказываться от исполнения взятых на
себя обязательств.
б б
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
21. Подходы к координации
группового поведения агентов (1/3)
1. Координация с помощью удовлетворения общих правил
группового поведения (social rules)
rules).
• Обычно такой подход используется в системах с заданной
организационной структурой в которой правила группового
структурой,
поведения должны строго выполняться.
• Биологический прототип такого варианта координации -
пчелиный рой или сообщества муравьев, термитов и т.п.
(“Звездный десант”)
• В таких сообществах каждый агент является простейшим
автоматом. Однако множество правил группового поведения
формирует систему, которая проявляет
высокоорганизованное поведение.
• Координация в этом случае содержит два вида деятельности:
1) поддержание организационной структуры сообщества
2) использование правил группового поведения для
определения конкретных действий агента.
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
22. Подходы к координации
группового поведения агентов (2/3)
2. Координация поведения на основе обмена мета –
информацией.
ф й
• Она касается, например, согласования обязательств и
правил разрешения конфликтов
• Примеры: методы распределенного планирования
[L.Gasser-92],
[L Gasser-92] методы "Частичного глобального
Частичного
планирования" ("Partial Global Planning" [Е.Durfee-88]
• Агенты информируют друг друга о своих локальных планах
и ведут переговоры для согласования своих обязательств
• Существует большое р
ущ у разнообразие конкретных
р р
реализаций этого подхода.
• Пример: Задача о восьми ферзях
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
23. Подходы к координации
группового поведения агентов (3/3)
(3
3. Командная работа.
• П агентов, которые сотрудничают д достижения общей
Про д для д б й
долговременной цели, функционируют в динамической
внешней среде в присутствии шума и противодействия со
стороны соперника принято говорить, что они образуют
команду агентов (пример: трафик <-> эскорт президента).
президента)
• Наличие соперничающей команды или "враждебной"
внешней среды является одной из специфических
особенностей, которая отличает командную работу от
обычной кооперации агентов в МАС.
р ц
• Здесь каждый агент имеет ограниченную информацию о
собственной команде, о внешней среде и о сопернике и
реализует собственные намерения с помощью
индивидуальных действий, исполняемых параллельно или
последовательно с действиями других агентов.
й
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
25. Подходы и системы, реализующие
системы,
командную работу
Классические подходы:
Теория общих намерений [Cohen 1991]
Теория общих планов [Grosz 1996]
К
Комбинированный подход, система St
б й Steam [T b 1997]
[Tambe
Системы многоагентного моделирования
GRATE*: общая ответственность [Jennings 1995]
OAA: доска объявлений [Martin 1999]
CAST: общая ментальная модель [Yen 2003]
RETSINA-MAS: комбинации всевозможных ролей агентов
[Giampapa 2002]
Robocup soccer: ориентация на собственную модель мира
[Stankevich 1999]
COGNET/BATON: взаимодействие людей и агентов
[Zachary 1996]
Team-Soar: «многоуровневая теория» [Kang 2001]
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
26. Теория общих намерений
Говорят, что агент имеет слабую конечную цель p относительно условий q,
если выполняется любое из нижеследующих условий:
1. Агент сохраняет стандартную цель p, которую он стремится достичь, т.е. у агента
нет убеждения, что цель достигнута, и значит, он полагает, что цель p продолжает
оставаться долговременной целью;
2. Агент убежден, что цель (1) или достигнута (утверждение p истинно), (2) или
никогда не будет достигнута, (3) или нерелевантная (утверждение q ложно), и при
этом его текущая подцель состоит в том, чтобы сделать информацию о статусе цели
б ф
общим убеждением членов команды.
Команда агентов имеет общую долговременную цель достигнуть p при
условии q в том случае, если выполнены все нижеследующие условия:
1. Все члены команды убеждены, что выражение p в текущем состоянии ложно (т.е.
долговременная цель не достигнута)
достигнута).
2. Все члены команды знают, что все они хотят сделать выражение p истинным (т.е.
достигнуть цели).
3. Справедливо, и все члены команды это знают, что до тех пор, пока все они не
придут к общему убеждению, что (1) или выражение p истинно, (2) или p никогда не
будет истинным, (3) или что q ложно (цель нерелевантная), они будут убеждены, что
p является слабой долговременной целью в условиях q для всех членов команды.
КИИ 2004, 28 сентября-2 октября, Тверь
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
27. Комбинированный подход
• Структура команды агентов описывается в терминах иерархии
групповых и индивидуальных ролей в различных сценариях
й
действий.
• Листья иерархии отвечают ролям индивидуальных агентов,
агентов
промежуточные узлы групповым ролям.
• Спецификация иерархии планов действий осуществляется для
каждой из ролей. Для каждого плана описываются:
(1) начальные условия, когда план предлагается для исполнения;
(2) условия, при которых план прекращает исполняться;
(3) действия, выполняемые на уровне команды, как часть общего
плана.
плана
• Спецификация иерархии планов действий осуществляется в виде
иерархии действий описываемых на различных уровнях
действий, уровнях.
• Назначение ролей и распределение планов между агентами
выполняется в д а э а а ( ) с а ала план рас редел е с в
ол е с два этапа: (1) сначала ла распределяется
терминах ролей, (2) каждой из ролей ставится в соответствие агент.
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
28. Методы построения МАС и оптимизации
командной работы
BDI-модели (
д (Belief-desire-intention), определяемые схемами
), р д
функционирования агентов, обуславливаемыми зависимостями
предметной области
методы распределенной оптимизации на основе ограничений
й й
(Distributed constraint optimization, DCOP) , использующие
локальные взаимодействия при поиске локального или глобального
оптимума
методы распределенного принятия решений на основе частично-
наблюдаемых Марковских сетей (Distributed Partially Observable
Markov Decision Problems, POMDPs) , позволяющих реализовать
координацию командной работы при наличии неопределенности в
действиях и наблюдениях
теоретико-игровые модели и модели ау ц о а, фокусирующиеся на
еоре о ро е одел одел аукциона, фо ус рующ ес а
координации среди различных команд агентов, использующих
рыночные механизмы принятия решений
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
29. Работы в области адаптации (1/3)
(1/3
Адаптация и обучение в автоматических системах
[Я.З.Цыпкин, 1968]
[Я З Ц
Системы адаптивного управления производством
[В.И.Скурихин,
[В И Скурихин 1984]
Рефлексивные процессы (В.А.Лефевр, В.Е.Лепский,
Д
Д.А.Поспелов и др )
др.)
Динамические интеллектуальные системы [Д.А.Поспелов,
Г.С.Осипов, В.Л.Стефанюк и др.]
Адаптивное поведение (б
(биологическая метафора) )
[Редько В.Г. и др.]
Типовая модель для динамической адаптации в
реальном времени [Silva et al.,00]
Базовые принципы автономных вычислений
(самовосстановление, самоконфигурирование,
самооптимизация и самозащита) [Kephart et al.,03], [Want
et al.,03]
al 03]
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
30. Работы в области адаптации (2/3)
Саморегенеративные системы [Atighetchi et al.,04]
Подход, основанный на использовании промежуточного
программного обеспечения [Atighetchi et al.,03], [Zou et
al.,06]
l 06]
Архитектура Willow [Knight et al.,02]: (1) обход
неисправностей ( основе отключения уязвимых
й (на
элементов сети), (2) устранение неисправностей
(посредством замены программных элементов системы) и
(3) устойчивость к неисправностям (на базе
р
реконфигурации системы)
ф ур ц )
Самоуправляемая координационная архитектура [Cheng
]
et al.,04]
Подход к инкрементальной адаптации, основанный на
использовании внешних механизмов [Combs et al.,02],
[Dashofy et al.,02], [Gross et al.,01], [Oreizy et al.,99]
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
31. Cаморегенеративные системы
Обеспечить 100% критических функций в течение всего времени
функционирования в условиях реализации атак.
Обнаруживать собственные уязвимости для повышения живучести в
процессе функционирования
функционирования.
Восстанавливать сервисы после атаки.
Теоретическая
производительность
Способность
обеспечения
сервисов
Первоначальная
Само-
функциональность
Устойчивая к регенеративная
Традиционная
Т вторжению система
система система (выполняет
(терпит крах) (постепенно реконфигурацию и
деградирует)) самооптимизацию))
100%-ая критическая
функциональность
Источник: Lee Badger (атака или ошибка) Время
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
32. Работы в области адаптации (3/3)
Искусственные иммунные системы [Ishida et al.,04].
у у [ ]
Множество различных приложений в области
компьютерной безопасности [Negoita et al.,05].
Реализация адаптивного подхода к защите от атак
DDoS:
способность динамического изменения поведения для
поддержки работы сетевых сервисов во время атаки
[Piszcz et al.,01]
система SSaber ( (комплексирование различных
механизмов: обнаружение вторжений, автоматическая
установка заплат миграция процессов и фильтрация
заплат,
атак ) [Keromytis et al.,03]
гранулярно-адаптивное обнаружение атак [Gamer et
у у
al.,06]
принцип адаптивной защиты на основе
минимизации “стоимости” защиты [Zou et al 06]
стоимости” al.,06]
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
33. План доклада
Введение
Многоагентный подход к построению
киберармий
Примеры реализаций агентов
Особенности моделирования для задач
защиты информации
Подход к моделированию
Среда моделирования
р р
Эксперименты
Заключение
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
34. Общая архитектура агента
Окружающая
Входное среда Выходное
сообщение сообщение
Восприятие
Получатель окружающей Отправитель
входных среды исходящих
сообщений щ
сообщений БД
Процессор База знаний
входного Мета-
Буфер
уф р трафика автомат Буфер
Автомат 1
А
входных исходящих
….
сообщений Интерфейс Автомат с щ
сообщений
с пользо- самостоятельно Автомат N
активизируемым
вателем поведением
База данных диалогов агента
Агент
[Пользователь]
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
35. Реализация агентов атаки
Предложенный подход к реализации
р д д д р ц
1. Моделирование атаки базируется на задании цели атаки
атаки.
2.
2 Многоуровневое описание атаки представляется в виде: сценарий
сценарий
простые атаки трафик
атаки трафик.
3. Разработка моделей распределенных атак основана на задании
онтологии предметной области
области.
4. Формальное описание сценариев и простых атак выполнено на базе
р ц р р
семейства стохастических атрибутных грамматик
грамматик.
5. Д
Для структурирования многоуровневого описания распределенных
ру ур р ур р р д
атак используются операции подстановки грамматик
грамматик.
6. Программная реализация имитатора атак выполнена на основе
автоматной интерпретации грамматик.
7. Генерация действий (атак) злоумышленника в зависимости от реакции
атакуемой сети происходит в реальном масштабе времени.
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
36. Фрагмент онтологии атак макро-уровня
макро-
A
Разведка Сетевая атака
R
Определение IS
служб хоста ABE
Определение
приложений и заголовков
р
Определение IO UE
ОС хоста Определение Внедрение и
CI RE пользователей и реализация угрозы
Сбор дополнительной
информации групп I
IH Определение CBD Создание
Определение разделяемых ресурсов “потайных
функционирующих хостов ходов”
SPIH GAR CTСокрытие
Диапазонная проверка по DC Сканирование Получение
ping PS доступа к следов
портов ресурсам ER GAD
Proxy-
P ST TR Сбор дополнительной
сканирование Расширение Реализация информации
TCP connect -
Понятия микро- DHS сканирование привилегий угрозы
Dumb host -
ур
уровня сканирование
TCP SYN -
SFB SS сканирование CD DOS
FTP Bounce - сканирование ID “Отказ в
SF Нарушение обслуживании”
SN TCP FIN - Нарушение целостности
конфиденциальности
TCP Null - SXсканирование
сканирование
HS SU
TCP Xmas Tree - – Отношение “Часть …"
Half -сканирование -
UDP сканирование
сканирование – Отношение "Класс "
Класс…
Понятия более низких уровней
– Отношение "Последовательность…"
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
37. Задание цели атаки
Цель атаки:
<Адрес сети (хоста) Намерение злоумышленника Известные параметры сети
(хоста), злоумышленника,
(хоста), Объект атаки>.
Адрес сети (хоста):
р ( )
Примеры: 244.146.4.0, 198.24.15.0, 210.122.25.0; 244.146.4.1, 244.146.4.12 .
Известные параметры сети (хоста):
Примеры: Type of OS = ‘Windows 2000 S
f Server’, User ID = ‘Admin’.
Намерения злоумышленника:
IH, IS IO, RE UE ABE; GAR EP, GAD CD ID DOS CT CBD .
IS, IO RE, UE, GAR, EP GAD, CD, ID, DOS, CT,
Объект атаки:
1) для атак CD или ID:
[Аккаунт,]
[Процесс {<Имя процесса >/<Маска процесса>},]
[Файл {<имя файла>/<маска файла>},]
[Передаваемые данные {<имя файла (данных)>/<маска файла (данных)>}],
2) для всех атак: All (Все) – все ресурсы сети (хоста)
(хоста),
Anyone (Любой) – хотя бы один из ресурсов.
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
38. Задание атак в виде формальных грамматик
Математическая модель атак:
MA = <{ Gi } , { Su }> ,
где {G} – формальные грамматики, {Su} – операции подстановки.
Последовательности символов (“слов”) генерируемые каждой из грамматик,
( слов ), грамматик
соответствуют последовательностям действий злоумышленника.
Каждая грамматика Gi является в общем случае атрибутной стохастической
грамматикой:
Gi = <VN , VT , S, P, A > ,
где Gi – имя грамматики; VN – множество нетерминальных символов; VT – множество
терминальных символов; S VN – аксиома грамматики;
P – множество подстановок вида
( ) X (
(U) (Prob),
)
где X VN, (VT VN)*, U – условие подстановки, Prob – вероятность выбора;
A – множество атрибутов и алгоритмов их вычисления.
р у р
Операция подстановки Su(a) для грамматики G(a) имеет следующий вид:
Su(a): {a G(a)}
Эта
Э операция соответствует детализации описания сценария атак.
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
39. Автоматная интерпретация атак
Семейство взаимосвязанных автоматов задает алгоритм генерации атак, описанных в терминах
формальных грамматик
грамматик.
Основные элементы автомата:
(1) начальное, промежуточные и конечное состояния;
(2) переходы из всех состояний за исключением состояния “End”.
End
Типы промежуточных состояний:
(1) нетерминальные (инициализирующие работу вложенных автоматов);
(2) терминальные ( (взаимодействующие с моделью атакуемой сети – конкретные действия
й й й
злоумышленника).
Переходы являются аналогами грамматических правил подстановки.
Атрибуты состояний:
(1) Rule – номер правила перехода;
(2) P – вероятность выбора альтернативного перехода (из одного состояния);
(3) K – коэффициент нормализации вероятностей (для рекурсивных правил K<1, для остальных
правил, как правило, K=1);
(4) State – состояние достигаемое при выполнении правила перехода;
состояние,
(5) Attributes – дополнительные атрибуты (информация о хосте или целой сети), передаваемые
при переходе в новое состояние;
(6) A ti
Actions – действия, которые необходимо выполнить после перехода в состояние, выбранное
й б б
из таблицы переходов.
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
40. Диаграмма взаимодействия автоматов
A
R P P I
P P P P
IH P IS P IO RE P UE P ABE GAR P EP P GAD P TR P CT P P CBD
P P P P P P
P
CI
EP_MSG GAD_MSG
SPIH SPIS ENS IAUS RCE DCSR IBSD PSA CSS AVR CVR IVR
UFPS RRM EKV ACE DS
IH_MSG SPIS_MSG IO_MSG CI_MSG ENS_MSG RE_MSG UE_MSG ABE_MSG GAR_MSG CVR_MSG IVR_MSG CT_MSG CBD_MSG
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
41. Пример автомата R (“Разведка”)
(“Разведка”)
R
0) (1-12)
IR1
1) R -> IH R1 (1)
2) R -> IH R2 (7-12)
3) R-> IS R1 (2)
10) R1-> IH R1
R1 > (1) IH
4) R-> IS R3 (7-12)
IR1 – промежуточное состояние
5) R-> IO R1
6) R-> IO R4
(3)
(7-12)
11) R2-> IS R3 (7-12)
IH – Определение
12) R2-> IO R4 (7-12) IS 14) R1-> IS R1 (2) функционирующих
7) R -> RE R1 (4) 15) R3-> IO R4 (7-12) хостов
17) R1 -> IO R1 (3) IO 8) R -> UE R1 (5)
IS – Определение служб хоста
9) R -> ABE R1 (6) 18) R4 CI R5 (7-12)
R4-> (7 12)
IO – Определение ОС хоста
р
CI – Сбор дополнительной
CI
информации
RE – Определение разделяемых
20) R5 -> RE R6 (7-12)
13) R1 -> End (1)
21) R1-> RE R1 (4) RE
ресурсов
16) R1 -> End (2) 22) R6-> UE R7 (7-12) UE – Определение групп и
24) R1-> UE R1 (5) UE 19) R1 -> End (3) пользователей
23) R1 -> End (4) 25) R7-> ABE R8 (7-12)
ABE – Определение приложений и
27) R1-> ABE R1
) ( )
(6) ABE 26) R1 -> End (5) заголовков
28) R1 -> End (6)
29) R8-> End (7-12)
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
End
42. Интерфейс пользователя
для задания задачи атаки
Основные элементы
спецификации атаки:
1) Намерение злоумышленника
(1-12);
2) Адрес атакуемого хоста или
сети;
3) Имеющаяся информация об
атакуемом хосте;
4) Объект атаки (имя файла,
файла
идентификатор пользователя,
ресурс и др.);
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
43. Окно визуального представления развития атаки
на макро-уровне
макро-
Спецификация задачи
ц ф ц д
атаки
Дерево генерации атаки
Д
Действия
злоумышленника
Признак успеха (неуспеха)
и данные, полученные от
атакованного хоста
(реакция хоста)
( )
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
44. Обобщенная архитектура системы обнаружения
вторжение (МСОВ)
Интерфейс пользователя
Хост S1
Х Хост T
Х
Входной
трафик
… Компоненты МСОВ Компоненты МСОВ
Сообщение
щ
Сообщение
Сообщение
Сообщение
…
Компоненты МСОВ Компоненты МСОВ
Хост S2
Х Хост F
Х
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
45. Архитектура компонентов МСОВ на хосте
Компоненты МСОВ
1. 2. 3. От агентов
2
АIA хоста
1 6
AD-E 3
ACA IDA1
Архив
4 событий,
б й
AD–P1 7 зафиксированных
IDA2 на хосте
5
Timer AD–P2
Хост S1
Интерфейс
Хост F Хост T Хост S2 пользователя
1., 2., 3. – уровни обработки; 1, 2, …, 7 – типы агентов.
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
46. Функции базовых агентов МСОВ
у
AD-E (AD-Events) — предварительная обработка сообщений
AD- AD-
и фиксация значимых событий.
AIA, ACA — идентификация источников сообщений и
AIA,
подтверждение их подлинности, регламентация доступа
к ресурсам обнаружение и прерывание несанкционированных
ресурсам,
действий.
AD-P1, AD-P2 (AD-Patterns) — обнаружение паттернов
AD- AD- (AD-
“подозрительных” событий или очевидных атак (например,
finger, b ff overflow; port scanning, syn-flood) и реагирование
fi buffer fl t i fl d)
на данные события.
IDA1, IDA2 — высокоуровневая обработка и обобщение
IDA1 IDA2
обнаруженных событий (spoofing–атаки, распределенные
многофазные атаки), прогнозирование последующих событий.
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
47. Визуализация обмена сообщениями
между агентами
ду
(в процессе обработки атаки Port Scanning)
Scanning
Msg 41
Msg 42
Msg 43
Содержание сообщений в полной (на XML и сокращенной форме (агенты AD-E, AD-P2
XML) AD- AD-
и IDA2 хоста S1 взаимодействуют посредством обмена сообщениями ## 41–43)
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
48. План доклада
Введение
Многоагентный подход к построению
киберармий
Примеры реализаций агентов
Особенности моделирования для
задач защиты информации
Подход к моделированию
Среда моделирования
р р
Эксперименты
Заключение
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
49. Общие этапы моделирования для решения
задач защиты информации
Построение модели защищаемой системы
Построение о е
Пос рое е модели противника ( ар
ро а (нарушителя)
е )
Определение свойств компонентов защиты
Моделирование и анализ выполнения этих свойств
при реализации атак противника (нарушителя)
Проверка р у
р р результата моделирования
д р
При данных допущениях о системе реализация
атак не приведет к нарушению заданных свойств
Не существует “абсолютной” защищенности
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
50. Метод явного учета нарушителя
у ру
Описание
системы
Формальная Модель
защиты спецификация нарушителя
Определение
Формальный анализ
ошибки,
/ моделирование
модификация
системы
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
51. Фундаментальный компромисс между
сложностью модели и ее адекватностью
Модели абстрактны и сильно упрощены
Отдельные компоненты моделирования представляются,
как правило как конечные автоматы
правило,
Функции защиты, как правило, специфицируются как
абстрактные типы данных
р
Свойства защиты формулируются, как правило, как
недостижимость “плохого” состояния
Существует множество методов анализа свойств, многие
из них автоматизированы …, но не являются полностью
достоверными
Доказательства в модели выполняются на основе ряда
у р щ щ д ущ
упрощающих допущений, которые игнорируют некоторые
, р р ру р
возможности нарушителя
Атака в формальной или имитационной модели “влечет”
реальную атаку
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
52. Области использования моделирования
для задач защиты информации
Анализ влияния (Impact assessment) для определения, каким
образом механизмы защиты воздействуют на защищаемую систему и
ее целевые свойства (безопасность, производительность,
надежность и др.) [D.Nicol, S.Smith, M.Zhao-04 ; S.Kent, C.Lynn, K.Seo-
д др ) [ , , , y ,
00 (Secure BGP); M.Zhao, S.Smith, D.Nicol-05; etc.]
Эмуляция, при которой реальные и виртуальные компоненты
у ц , р р р р у
(“миры”) комбинируются для изучения взаимодействия между
системами защиты и нарушителем и выявления уязвимостей
системы защиты [G Bakos V Berk 02 (Worm activity by metering ICMP);
[G.Bakos, V.Berk-02
M. Liljenstam et al-03 (Simulating worm traffic); etc.]
Тренировки по реализации атак и сценарии обучения
[M. Liljenstam et al-05 (RINSE); B. Brown et al-03; etc.]
Анализ рисков базирующихся на известных уязвимостях и
рисков,
параметрах конфигурации системы [R. Ortalo, Y.Deswarte,
M.Kaaniche-99; Sheyner et al-02; V.Gorodetski, I.Kotenko-02 (Attack
; y ; , (
Simulator); B.Madam, K.Goseva-Popstojanova-02; etc.]
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
53. Компоненты, используемые при
моделировании сетевых процессов (1/2)
(1/2)
• Топология. Типовых топологий локальных сетей не существует.
Можно строить модель, используя древовидную топологию или на
основе конкретной сети. Для моделирования Интернет-топологий
применяются случайные графы, построенные на основе
графы
определенных функциональных зависимостей [Mahadevan et al., 05],
[Mahadevan et al., 06]
• Каналы передачи данных. Традиционно используются такие
параметры как пропускная способность канала и задержка
распространения сигнала
• Протоколы. Для моделирования сетевых процессов необходимо
моделирование большого числа протоколов Основными являются
протоколов.
протоколы сетевого и транспортного уровней. В ряде имитаторов сети
(на пакетном уровне) присутствуют модели различных протоколов
(однако затруднительно проверить их достоверность). Точность
моделирования протоколов заметно отличается. При этом необходимо
моделировать протоколы с точностью до отдельных пакетов
пакетов,
заголовков и управляющих флагов
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
54. Компоненты, используемые при
моделировании сетевых процессов (2/2)
(2/2)
• Приложения. Большинство приложений предлагается
моделировать на уровне трафика, а отдельных, наиболее важных
для исследования (модели вредоносных программ, исследуемых
механизмов защиты) - на уровне логики работы
• Трафик. Существует ряд подходов к генерации трафика:
• генерация трафика приложений для имитации нагрузки канала
связи
• генерация трафика, используя моделирование на ур
р ц р ф у д р уровне
источника
• генерация трафика с использованием структурной модели
• генерация трафика на основе данных о поведении узлов на
уровне их коммуникаций
• использование для генерации записей реального трафика
• Узлы. Узел определяется своим предназначением (роутер, свитч,
хост и т.д.), содержит определенный стек протоколов и отличается
тд )
набором установленных на нем приложений
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
55. План доклада
Введение
Многоагентный подход к построению
киберармий
Особенности моделирования для задач
защиты информации
Подход к моделированию
Среда моделирования
Эксперименты
р
Заключение
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
56. Основные положения подхода (1/2)
1/2
Кибернетическое противоборство представляется в виде
р р р р
взаимодействия различных команд программных агентов
Процессы происходят в среде, задаваемой моделью
Интернета
Выделяются команды агентов атаки, защиты и
пользователей
Команды взаимодействуют между собой:
противоборствуют, кооперируются, адаптируются
Команда агентов-злоумышленников эволюционирует
посредством генерации новых экземпляров и типов атак,
а также сценариев их реализации с целью преодоления
подсистемы защиты
Команда агентов защиты адаптируется к действиям
злоумышленников путем изменения исполняемой
политики безопасности, формирования новых
экземпляров механизмов и профилей защиты
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
57. Основные положения подхода (2/2)
(2/2
Цель команды агентов-злоумышленников
состоит в определении уязвимостей и реализации
угроз информационной безопасности посредством
выполнения распределенных скоординированных
атак
Цель команды агентов защиты состоит в защите
компьютерной сети и себя от атак
Команда 1
Команда-1
Команда-2
Агенты противоборствующих
команд соперничают для
достижения противоположных
намерений.
Агенты одной команды Цель
сотрудничают для достижения атаки
общего намерения
Команда-N
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
58. Процедуры поддержки командной работы
1. Процедуры обеспечения со асо а ос действий
1 Про е р обес е е согласованности ейс й
агентов в команде (группе, индивидуально) по
некоторому общему плану
2. Процедуры мониторинга и восстановления
функциональности команды (
ф (группы, индивидуально)
д д )
за счет переназначения “утерянных” ролей тем членам
команды,
команды которые в состоянии выполнить эту работу,
работу
или клонирования новых агентов
3. Процедуры обеспечения селективности
3 П б
коммуникаций основываются на расчете важности того
или иного сообщения с учетом его “стоимости”
“стоимости”,
возможности компрометации и выгоды, получаемой при
этом
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
60. Реализация сценариев (1/3)
(1/3
Д
Для выполнения экспериментов были реализованы:
р р
сценарии функционирования бот-сети (включая сценарии
распространения бот-сети, управления бот-сетью и
реализации атак),
сценарии сдерживания бот-сети и противодействия атакам,
сценарии легитимной деятельности вычислительной сети.
й й
Сценарии распространения бот-сети:
сценарии поиска новых узлов, пригодных к компрометации,
их идентификации и последующей компрометации,
подключения инфицированных узлов в б
ф бот-сеть.
Сценарий распространения бот-сети, использованный в
экспериментах,
экспериментах основывается на модели распространения
сетевого червя посредством эксплуатации уязвимости
сетевых служб. После активации “уязвимого” сервиса
служб уязвимого сервиса,
компьютер считается зараженным.
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
61. Основные параметры сценариев
распространения (1/2)
Транспортный протокол (Transport p
р р р ( p protocol): TCP, UDP
) ,
Тип закрытия соединения (End of connection) (только для
TCP):
Полное закрытие TCP-соединения
Неполное закрытие TCP-соединения
Размер пакета (Packet size)
Частота генерации пакетов (Scan speed) (число пакетов
(соединений),
(соединений) генерируемых в секунду)
Изменение скорости сканирования (Scan speed variation).
Скорость,
Скорость с которой червь производит сканирование может
быть постоянной или изменяться (в том числе случайным
образом)
Методика подмены сетевого адреса и порта (Address and port
spoofing)
Число используемых адресов (N b of addresses used)
Ч (Number f dd d)
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
62. Основные параметры сценариев
распространения (2/2)
Тип сканирования (Scan type) ( р
р ( yp ) (стратегия сканирования
р
или методика выбора адреса узла- получателя и порта):
случайное сканирование (random-scanning)
последовательное сканирование (sequential-
scanning)
частичное сканирование ( (partition-scanning)
titi i )
локальное сканирование или сканирование на
основе предпочтения локальных адресов (local-
(local
preference-scanning)
сканирование по хит-листам, т.е. по заранее
хит листам,
составленным спискам уязвимых узлов, которые
содержат атакуемый сервис, необязательно
уязвимый, после этого черви выполняют случайное
й й
сканирование (hitlist-scanning)
…
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
64. Реализация сценариев (3/3)
(3
Сценарий у р
р управления задается процедурой отправки
р ур р
сообщения о статусе нового узла на сервер “командный
центр” с последующим ожиданием поступления команд
со стороны сервера.
Одним из примеров р
д р р реализованных сценариев атаки
ц р
бот-сети является атака вида UDP Flood, проводимая
по отношению к некоторому узлу, IP-адрес которого
указан в составе команды начала атаки.
В настоящей работе р
щ р реализовано несколько сценариев
ц р
сдерживания бот-сети и противодействия атакам:
без кооперации;
р
с кооперацией типа DefCOM;
с кооперацией типа COSSACK;
с полной кооперацией.
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
65. Команда атаки
Cattack M , A Демон
Цель
Демон
атаки
Злоумышленник Мастер DDoS
…
Демон
Атака DDoS: глобальная цель достигается скоординированными
усилиями многих компонентов
“Демон (demon)” – исполнитель атаки
В начале работы посылает «мастеру» свой адрес и порт
“Мастер (master)” – координатор атаки
Составляет список работоспособных «демонов»
Получает команду атаки от злоумышленника
Посылает работоспособным «демонам» команду атаки: IP
адрес и порт цели, интенсивность (пакетов в секунду)
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
66. Команда защиты
Cdefense S , D, F , L, I
f
Фильтр Ограничитель Агент атаки
Защищаемый
узел Сэмплер Детектор Агент
расследования
Агент “сэмплер (sampler)”
• Сбор модельных д
р д данных д каждого у
для д узла по сетевым пакетам
• Выдача модельных данных на запрос «детектора»
Агент “детектор (detector)”
• Прием сообщения о работоспособности других агентов
• Запрос данных от «сэмплеров»
• Прием р
р решения об атаке
• Посылка сообщения со списком подозрительных узлов «фильтру» и
агенту «расследования», директиву ограничивать трафик
Агент «фильтр (filter) – прием данных от «детектора» и фильтрация
фильтр (filter)» детектора
Агент «ограничитель (limiter)» – ограничение трафика
Агент «расследования (investigator)» – отслеживание источника
р д ( g )
атаки и его обезвреживание
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
67. Исследования по механизмам защиты
от распространения
Разработаны р
р различные механизмы, основанные на
,
ограничении скорости (интенсивности) установления
сетевых соединений (“Rate Limiting”).
Вильямсон [Williamson, 02-1] предлагает ограничивать
число различных IP-соединений конечного узла.
Чен
Ч и др. [Ch et al., 04 2] и Ш
[Chen t l 04-2] Шехтер и др. [S h ht et al.,
[Schechter t l
04] применяют ограничения к узлам, которые
демонстрируют большое количество незавершенных или
неустановленных (failed) соединений.
Вонг и др. [Wong et al., 05] предлагают использовать
др [ g , ] р д
механизмы “Rate Limiting”, основанные на DNS-
статистике.
…
Обзор работ - Котенко И.В. Автоматическое обнаружение и
сдерживание распространения Интернет-червей: краткий анализ
Интернет червей:
современных исследований // Защита информации. Инсайд, № 4,
2007. С.46-56.
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
68. Метрики для обнаружения бот-сетей (1/3)
бот- (1/3)
Отклик Синхронизация
Бот
C&C Бот Объект
Master
атаки
Бот
Отношения
Возможная интерпретация:
Отношение – количество активных клиентов в канале (IRC)
( )
Отклик – время отклика клиентов на запрос
Синхронизация – синхронизм трафика, посланного
клиентами
[Akiyama, etc., 2007]
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
69. Метрики для обнаружения бот-сетей (2/3)
бот-
Отклик
[Akiyama, etc., 2007]
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
70. Метрики для обнаружения бот-сетей (3/3)
бот-
Синхронизированный трафик
IRC- р ф бот-
IRC-трафик бот-сети
IRC-
IRC-трафик обычных
пользователей
й
[Akiyama, etc., 2007]
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
71. Примеры методов обнаружения
вредоносного трафика
Hop counts Filtering (HCF): заключается в формировании таблиц
p g( ) ф р р ц
подсетей и количества скачков до них. Предполагается, что пакеты из
одной и той же сети проходят от отправителя до получателя
одинаковое количество хопов (
д (скачков). Вначале составляется
)
таблица, в которой узлы группируются по количеству хопов. При
обнаружении атаки система, реализующая HCF, вычисляет
количество хопов пришедшего пакета и сравнивает его с табличным
значением.
Source IP address monitoring (SIPM): используется предположение,
что во время атаки появляется большое количество новых адресов
р др
клиентов. Вначале производится формирование базы IP-адресов
“легитимных” клиентов. В реальном времени система собирает
статистику по пакетам – количество новых для системы IP-адресов за
заданные отрезки времени. Е Если эта величина остается в пределах
нормы, то новые адреса заносятся в базу, если нет – осуществляется
фильтрация.
Bit Per Second (BPS): позволяет обнаружить атакующих по
превышению порога нормального трафика. Вначале определяется
«допустимый» порог для трафика на основе запросов легитимных
клиентов.
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.
72. Кооперативные механизмы защиты
Модели кооперативного взаимодействия:
DefCOM [J.Mirkovic, etc., 2005]: “Alert generator”, “Rate limiter”,
“Classifier”
Classifier
COSSACK [C.Papadopoulos, 2003]: “snort”, “watchdog”, filter
Предложенные:
без кооперации;
кооперация на
уровне фильтров;
кооперация на
уровне сэмплеров;
слабая кооперация;
полная кооперация.
Positive Hack Days 2012, Москва, 30-31 мая 2012 г.