- •Нейронные модели обнаружения вторжений и атак на компьютерные сети
- •1. Компьютерные системы как среда проведения вторжений и атак
- •1.1. Определение понятия компьютерных систем
- •1.2. Классификация сетевых атак для компьютерных систем
- •1.2.1. Атаки на основе подбора имени и пароля посредством перебора
- •1.2.2. Атаки на основе сканирования портов
- •1.2.3. Атаки на основе анализа сетевого трафика
- •1.2.4. Атаки на основе внедрения ложного
- •1.2.5. Атаки на основе отказа в обслуживании
- •1.2.5.1. Математическая модель атаки «отказ в обслуживании»
- •1.2.5.2. Атаки, основанные на ошибках
- •1.2.5.3. «Лавинные атаки»
- •2. Подходы к выявлению вторжений и атак
- •2.1. Системы обнаружения вторжений и атак
- •2.3. Возможности систем обнаружения
- •2.4. Технические аспекты выявления атак
- •2.4.1. Обнаружение атак на различных уровнях
- •2.4.2. Время сбора и анализа информации
- •2.5. Подход к построению входного вектора искусственной нейронной сети
- •3. Построение математической модели обнаружения вторжений и атак в компьютерные системы на основе
- •3.1. Основы искусственных нейронных сетей
- •3.1.1. Биологический прототип
- •3.1.2. Искусственный нейрон
- •3.1.3. Персептрон
- •3.2. Обоснование топологии искусственной нейронной сети
- •3.3. Построение структуры сети
- •3.4.1. Дельта-правило
- •3.4.2. Процедура обратного распространения
- •3.4.3. Обучающий алгоритм обратного распространения
- •3.4.4. Алгоритм обучения искусственной нейронной сети
- •3.5. Выбор тестового множества
- •3.6. Оценка возможности модели по обнаружению вторжения и атак
- •3.7. Обобщенная схема системы обнаружения вторжений и атак, на основе полученной математической модели
- •Вопросы для самоконтроля
- •Заключение
- •394026 Воронеж, Московский просп., 14
1.2. Классификация сетевых атак для компьютерных систем
Спецификой компьютерных систем является то, что их объекты распределены в пространстве и связь между ними осуществляется физически (по сетевым соединениям) и программно (при помощи механизма сообщений) [92]. При этом все управляющие сообщения и данные, пересылаемые между объектами КС, передаются по сетевым соединениям в виде пакетов обмена. Статистика атак позволяет выделить пять основных классов угроз безопасности КС, приведенных в виде ленты (развертки) на рис. 1.1.
Рис. 1.1. Развертка видов сетевых угроз для КС
Если сложить полученную развертку «видов угроз» (рис. 1.1) в многогранник, то получим объемный классификатор угроз.
Далее, принимая во внимание тот факт, что угрозы помимо основной классификации по видам (рис. 1.2) могут классифицироваться и по другим критериям, уточним эту классификацию с учетом специфики:
Рис. 1.2. Объемный классификатор сетевых угроз для КС
1.По характеру воздействия:
- пассивные атаки (не влияющие на функционирование системы, но нарушающие ее политику безопасности),
- активные атаки (влияющие на функционирование системы и нарушающие ее политику безопасности).
2. По цели воздействия:
- нарушение конфиденциальности,
- нарушение целостности,
- нарушение доступности.
3. По условию начала атаки:
- по запросу от атакуемого объекта (атакующий ожидает передачи от атакуемого объекта запроса определенного типа, который и будет условием начала осуществления воздействия),
- по наступлению события (атакующий осуществляет постоянное наблюдение за состоянием объекта атаки и при наступлении определенного события в операционной системе атакуемого объекта начинает воздействие),
- безусловная атака (атака осуществляется немедленно и безотносительно к состоянию системы и атакуемого объекта).
4. По наличию обратной связи с объектом атаки:
- с обратной связью (атака характеризуется тем, что на некоторые запросы, переданные на атакуемый объект, атакующему необходимо получить ответ, для этого между атакуемым объектом и атакующем организовывается обратная связь),
- без обратной связи (атакующему объекту не требуется реагировать на какие-либо изменения, происходящие на атакуемом объекте).
5.По расположению относительно объекта атаки:
- внутрисегментные (атакующий и атакуемый объекты находятся в одном сегменте сети),
- внешнесегментные (атакующий и атакуемый объекты находятся в разных сегментах сети).
6. По уровню модели OSI на котором осуществляется атака:
- физический (на физическом уровне осуществляется физическое соединение между компьютерной системой и физической средой передачи; он определяет расположение кабельных контактов и т.п.),
- канальный (обеспечивает создание, передачу и прием кадров данных; этот уровень обслуживает запросы сетевого уровня и использует сервис физического уровня для приема и передачи пакетов),
- сетевой (на этом уровне происходит маршрутизация пакетов на основе преобразования MAC-адресов в сетевые адреса),
- транспортный (транспортный уровень делит потоки информации на пакеты для передачи их на сетевой уровень),
- сеансовый (сеансовый уровень отвечает за организацию сеансов обмена данными между оконечными машинами),
- представительский (отвечает за возможность диалога между приложениями на разных машинах; этот уровень обеспечивает преобразование данных прикладного уровня в поток информации для транспортного уровня),
- прикладной (прикладной уровень отвечает за доступ приложений в сеть; задачами этого уровня является перенос файлов, обмен почтовыми сообщениями и управление сетью) [92].
В связи с предложенной выше классификацией, на основе рис. 1.2 построим наглядный классификатор в виде многогранника (рис. 1.3), горизонтальные слои которого представляют из себя классы угроз, а боковые грани виды угроз.
Рис. 1.3. Классы сетевых угроз для КС
С учетом проведенной классификации был уточнен состав сетевых компьютерных атак на КС:
Сканирование портов запущенных служб
A.1 Несанкционированное определение IP адресов сетевых устройств
A.2 Идентификация служб и приложений установленных на атакуемом компьютере
A.3 Определение типа ОС
Подбор пароля
B.1 Тотальный перебор
B.2 Тотальный перебор, оптимизированный по статистике встречаемости символов
B.3 Тотальный перебор, оптимизированный с помощью словарей
B.4 Подбор пароля с использованием знаний о владельце пароля
B.5 Подбор образа пароля
Анализ (перехват) сетевого трафика
C.1 Анализ ответов, получаемых при посылке запросов на запись
C.2 Анализ списка контроля доступа к ресурсам
C.3 Анализ комментариев к учетным записям
C.4 Выявление настроек маршрутизатора
Внедрение ложного доверенного объекта
D.1 Внедрение ложного объекта путем навязывания ложного маршрута (IP-spoofing)
D.2 Внедрение ложного объекта на основе использования недостатков алгоритма удаленного поиска (DNS-spoofing, ARP-spoofing)
Отказ в облуживании (DOS атака)
E.1 На хост пользователя
E.2 На DNS сервер
E.3 На маршрутизатор
E.4 На почтовый сервер
E.5 На сервер провайдера