- •Моделирование процессов удаленного проникновения в операционную среду компьютера
- •1. Моделирование в области обеспечения защиты информации
- •1.1. Общие аспекты
- •1.2. Аналитическое моделирование
- •1.3. Имитационное моделирование
- •2. Угрозы удаленного проникновения в операционную среду компьютера
- •2.1. Общая классификация сетевых атак
- •2.2. Атаки, направленные на нарушение конфиденциальности и целостности информации
- •3. Аналитическое моделирование угроз удаленного проникновения в операционную среду компьютера
- •3.1. Моделирование удаленного проникновения в операционную среду без применения мер и средств защиты
- •3.1.1. Моделирование подготовительного этапа – «сканирование сети»
- •3.1.2. Моделирование удаленного проникновения в операционную среду компьютера при помощи подбора паролей
- •3.1.3. Моделирование удаленного проникновения в операционную среду компьютера при помощи перехвата паролей
- •3.2. Моделирование удаленного проникновения в операционную среду с применением мер и средств защиты
- •3.2.1. Моделирование подготовительного этапа – «сканирование сети» с применением меры защиты – использование нестандартного порта сервиса
- •3.2.2. Моделирование удаленного проникновения в операционную среду компьютера с применением меры защиты – увеличенная длина пароля
- •3.2.3. Моделирование удаленного проникновения в операционную среду компьютера с применением меры защиты – ограничение количества попыток на ввод неверного пароля
- •3.2.4. Моделирование удаленного проникновения в операционную среду компьютера с применением средства защиты – шифрование
- •Обозначения для переходов и позиций сети Петри-Маркова удаленного проникновения в ос компьютера при помощи перехвата паролей, с применения меры защиты – шифрование
- •4. Имитационное моделирование угроз удаленного проникновения в операционную среду компьютера
- •4.1. Назначение и возможности программ «эмуляторов сетей Петри»
- •4.2. Особенности технической реализации «эмуляторов сетей Петри»
- •4.3. Моделирование удаленного проникновения в операционную среду компьютера
- •4.3.1. Подбор паролей
- •4.3.2. Сканирование сети
- •4.3.3. Перехват паролей
- •4.4. Сравнительный анализ временных характеристик аналитического и имитационного моделирований
- •5. Меры и средства защиты информации от угроз удаленного проникновения в операционную среду компьютера
- •5.1. Общее понятие о мерах и средствах защиты информации
- •5.2. Меры и средства защиты от удаленного проникновения в операционную среду компьютера
- •5.3. Эффективность мер и средств защиты информации от угроз удаленного проникновения
- •5.3.1. Применение нестандартного порта сервиса как меры защиты от «сканирования» сети
- •5.3.2. Определение эффективности пароля из шести символов
- •5.3.3. Ограничение на количество вводимых ошибочных паролей
- •394026 Воронеж, Московский просп., 14
4.3. Моделирование удаленного проникновения в операционную среду компьютера
В ходе описания имитационного моделирования удаленного проникновения в ОС компьютера подробно рассмотрим сеть удаленного проникновения в ОС компьютера, посредством подбора паролей на вход в ОС компьютера.
Модели удаленного проникновения в ОС компьютера представляются в соответствии с этапами удаленного проникновения:
- «сканирование сети»;
- перехват паролей;
- подбор паролей.
4.3.1. Подбор паролей
Реализация такой сети в программе «Эмулятор сетей Петри» – представлена на рис. 4.1.
Для подтверждения характеристик, полученных в ходе аналитического моделирования, построены зависимости вероятности от времени реализации удаленного проникновения в ОС компьютера, посредством подбора паролей, полученные в ходе аналитического и имитационного моделирования с помощью программы «MiniTab» (рис 4.2).
t,c.
P(t)
2
1
t,c.
1 – в ходе аналитического моделирования
2 – в ходе имитационного моделирования
Рис. 4.2. Зависимости вероятности реализации удаленного проникновения в ОС компьютера, посредством подбора паролей от времени
Аналогичным образом рассчитываются зависимости вероятностей реализации удаленного проникновения посредством перехвата паролей и сетевого сканирования.
4.3.2. Сканирование сети
Зависимость вероятности реализации подготовки к проведению удаленной атаки, а именно «сканирование» сети от времени, полученная в ходе аналитического и имитационного моделирований представлены на рис. 4.3.
t,c.
P(t)
2
1
t, с
1 – в ходе аналитического моделирования
2 – в ходе имитационного моделирования
Рис. 4.3. Зависимость вероятности реализации подготовки к проведению удаленной атаки, а именно «сканирование» сети от времени, полученная в ходе аналитического и имитационного моделирований
4.3.3. Перехват паролей
Зависимость вероятности реализации удаленного проникновения в ОС компьютера, посредством протоколов управления и обмена файлами, при помощи перехвата паролей, на основе arp-спуфинга от времени, полученная в ходе аналитического и имитационного моделирований представлены на рис. 4.4.
t,c.
P(t)
t, с
Рис. 4.4. Зависимость вероятности реализации удаленного проникновения в ОС компьютера посредством протоколов управления и обмена файлами, при помощи перехвата паролей, на основе arp-спуфинга от времени, полученная в ходе аналитического и имитационного моделирований
4.4. Сравнительный анализ временных характеристик аналитического и имитационного моделирований
Из приведенных выше графиков видно, что временные характеристики, полученные в ходе имитационного моделирования, распределены по экспоненциальному закону.
Для оценки степени согласованности теоретического и статистического распределений применим критерий А. Н. Колмогорова.
В качестве меры расхождения между теоретическим и статистическим распределениями А. Н. Колмогоров рассматривает максимальное значение модуля разности между статистической функцией распределения F*(x) и соответствующей теоретической функцией распределения F(x), D = max |F*(x) – F(x)|.
Основанием для выбора в качестве меры расхождения величины D является простота ее вычисления. Вместе с тем она имеет достаточно простой закон распределения.
А. Н. Колмогоров доказал, что, какова бы ни была функция распределения F(x) непрерывной случайной величины Х, при неограниченном возрастании числа независимых наблюдений n вероятность неравенства стремится к пределу
(4.1)
Значения вероятности Р(λ), подсчитанные по формуле (4.1), приведены в табл. 4.1.
Таблица 4.1
Значения вероятности Р(λ)
λ |
Р(λ) |
λ |
Р(λ) |
λ |
Р(λ) |
0,0 |
1,000 |
0,7 |
0,711 |
1,4 |
0,040 |
0,1 |
1,000 |
0,8 |
0,544 |
1,5 |
0,022 |
0,2 |
1,000 |
0,9 |
0,393 |
1,6 |
0,012 |
0,3 |
1,000 |
1,0 |
0,270 |
1,7 |
0,006 |
0,4 |
0,997 |
1,1 |
0,178 |
1,8 |
0,003 |
0,5 |
0,964 |
1,2 |
0,112 |
1,9 |
0,002 |
0,6 |
0,864 |
1,3 |
0,068 |
2,0 |
0,001 |
Схема применения критерия А. Н. Колмогорова следующая: строятся экспериментальная функция распределения F*(x) и предполагаемая аналитическая функция распределения F(x), и определяется максимум D модуля разности между ними.
Далее определяется величина и по таблице 4.1 находится вероятность Р(λ). Это есть вероятность того, что за счет чисто случайных причин максимальное расхождение между F*(x) и F(x) будет не меньше, чем фактически наблюденное. Если вероятность Р(λ) весьма мала, гипотезу отвергнуть как неправдоподобную. При сравнительно больших Р(λ) ее можно считать совместимой с опытными данными [58].
В Приложении приведены временные и вероятностные характеристики, полученные в ходе имитационного и аналитического моделирований. На основе этих данных рассчитываем значения показателей, представленных в табл. 4.2.
Получив в результате имитационного моделирования временные характеристики реализации удаленного проникновения в ОС компьютера, вычислим средние времена реализации вышеописанных действий и сравним их с соответствующими временными характеристиками, полученными в ходе аналитического моделирования. Данные временные характеристики представлены в табл. 4.3.
Таблица 4.2
Показатели видов удаленного проникновения в ОС компьютера
Виды удаленного проникновения |
D |
λ |
Р(λ) |
Сканирование сети
|
0,0435 |
0,3074 |
1 |
Подбор паролей по сети
|
0,0361
|
0,2550 |
1 |
Перехват паролей по сети
|
0,0313 |
0,2210 |
1 |
Таблица 4.3
Среднее время, необходимое для реализации атак, полученное в ходе аналитического и имитационного моделирования при сетевом проникновении
Название действия |
Времена, полученные при: |
|
Аналитическом моделировании |
Имитационном моделировании |
|
Сканирование сети |
53,78 |
53,8 |
Проникновение в ОС компьютера, используя перебор паролей (4 символа, A-Z) |
4525 |
4520 |
Проникновение в ОС компьютера, при помощи перехвата паролей, на основе arp-спуфинга |
45,57 |
42,9 |
Проанализировав данные, приведенные в таблицах 4.2 и 4.3, можно сделать вывод о возможности применения аналитического моделирования для определения временных и вероятностных характеристик и использования их для оценки защищенности информации, циркулирующей в компьютере, а также оценки эффективности применяемых мер и средств защиты.