Методы и алгоритмы оценки защищенности встроенного программного обеспечения на основе нечеткой логики тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат наук Югансон Андрей Николаевич
- Специальность ВАК РФ05.13.19
- Количество страниц 191
Оглавление диссертации кандидат наук Югансон Андрей Николаевич
Содержание
Реферат
Synopsis
Список сокращений и условных обозначений
Словарь терминов
Введение
Глава 1. Анализ предметной области. Постановка цели и
задач исследования
1.1 Обзор и анализ угроз нарушения ИБ встроенного ПО
1.1.1 Исследование распространенности встроенного
ПО в отечественном сегменте сети Интернет
1.1.2 Исследование атак на встроенные системы
1.2 Обзор современного состояния защищенности
встроенного ПО
1.2.1 Зарубежные исследования
1.2.2 Отечественные исследования
1.3 Обзор существующих методов и алгоритмов оценки защищенности
1.3.1 Common Vulnerability Scoring System
1.3.2 SANS Critical Vulnerability Analysis
1.3.3 Microsoft Security Response Center Security Bulletin Severity Rating System
1.3.4 CERT/CC
Выводы по главе
Глава 2. Выявление программных дефектов и
идентификация дефектов безопасности
2.1 Моделирование системы оценки защищенности встроенного ПО
2.2 Разработка метода и алгоритма идентификации типа
исполняемого файла встроенного ПО
2.2.1 Проверка гипотезы о равномерном распределении
байтов в файле
2.2.2 Аппроксимация числа п методом Монте-Карло . . 95 2.3 Разработка метода и алгоритма выявления программных дефектов и идентификации дефектов безопасности встроенного ПО
2.3.1 Сравнительный обзор методов исследования исполняемых файлов
2.3.2 Метод и алгоритм выявления программных дефектов и идентификации дефектов безопасности встроенного ПО на основе фаззинга
2.3.3 Описание процесса фаззинг-тестирования встроенного ПО
Выводы по главе
Глава 3. Оценка риска эксплуатации дефекта
безопасности встроенного ПО
3.1 Система нечеткого логического вывода для оценки степени воздействия дефектов безопасности на информацию, обрабатываемую встроенным ПО
3.2 Система нечеткого логического вывода для оценки вероятности эксплуатации дефекта безопасности встроенного ПО
3.3 Система нечеткого логического вывода для оценки риска эксплуатации дефекта безопасности встроенного ПО
Выводы по главе
Глава 4. Программная реализация и экспериментальные
исследования
4.1 Разработка функциональной архитектуры исследовательского прототипа системы оценки защищенности встроенного ПО
4.2 Поиска программных дефектов и идентификации
дефектов безопасности встроенного ПО КопЬегОБ
4.3 Оценка эффективности выявления программных
дефектов и идентификации дефектов безопасности
4.3.1 Условия и этапы оценки
4.3.2 Эксперимент
Выводы по главе
Заключение
Список литературы
Список рисунков
Список таблиц
Приложение А. Базы нечетких продукционных правил
А.1 База нечетких продукционных правил для оценки степени воздействия дефекта безопасности на информацию, обрабатываемую встроенным ПО
A.2 База нечетких продукционных правил для оценки вероятности эксплуатации дефекта безопасности встроенного ПО
Приложение Б. Исходные тексты программ
Б.1 Программа для обнаружения дефектов безопасности
конфигурационных файлов (ConfigParser)
Б.2 Тестовая программа для эмуляции фрагмента
встроенного ПО
Приложение В. Аппробация результатов работы
B.1 Свидетельство о государственной регистрации
программы для ЭВМ
В.2 Акт о внедрении результатов диссертационной работы в образовательный процесс факультета БИТ Университета
ИТМО
В.3 Акт о внедрении результатов диссертационной работы в
АО «Эшелон - Северо-Запад»
Приложение Г. Основные публикации по теме диссертации
Г.1 The method for assessing security of embedded software
based on the fuzzy logic
Г.2 Метод определения упакованных и зашифрованных
данных во встроенном программном обеспечении
Г.3 Подход к оценке защищенности встроенного
программного обеспечения в условиях нечеткости
входной информации
Г.4 Об одном подходе к формированию перечня мер по защите информации в беспроводных сенсорных сетях газодобывающего предприятия
Реферат
Рекомендованный список диссертаций по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК
Методика идентификации исполняемых файлов на основе статического анализа характеристик дизассемблированного кода программ2020 год, кандидат наук Салахутдинова Ксения Иркиновна
Разработка метода оценки эксплуатируемости программных дефектов2017 год, кандидат наук Федотов Андрей Николаевич
Анализ безопасности киберфизических систем с использованием методов машинного обучения.2019 год, кандидат наук Жуковский Евгений Владимирович
Анализ защищённости информационных систем методами гибридного моделирования2019 год, кандидат наук Хейн Тун
Система обнаружения вредоносных программ в операционной системе (OC) для мобильных устройств (на примере Android) с применением интеллектуальных технологий2017 год, кандидат наук Гаврилов, Григорий Николаевич
Введение диссертации (часть автореферата) на тему «Методы и алгоритмы оценки защищенности встроенного программного обеспечения на основе нечеткой логики»
Общая характеристика работы
Актуальность темы. На сегодняшний день киберфизические системы нередко становятся объектами целевых кибератак (APT), заключающихся, в том числе, в эксплуатации уязвимостей программного обеспечения (ПО), функционирующего в таких системах. Уязвимое ПО может быть использовано для распространения вредоносных программных средств, кражи или разглашения конфиденциальных данных, воздействия на защищаемую информацию с нарушением установленных прав, приводящих к разрушению, уничтожению, искажению или сбою в работе автоматизированных систем, в которых данное ПО функционирует.
Для противодействия таким атакам в частности, и повышения уровня защищенности в целом, в 2017 году был принят федеральный закон №187-ФЗ «О безопасности критической информационной инфраструктуры РФ», регулирующий отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации (КИИ) в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак.
Одним из элементов КИИ является встроенное ПО - это специальный класс ПО, который обеспечивает управление устройствами (сетевое оборудование, камеры видеонаблюдения, промышленные логические контроллеры и др.) на уровне аппаратной части. Для корректного функционирования устройства в целом необходимо, чтобы встроенное ПО было защищенным, то есть обладало совокупностью свойств, характеризующих способность программы обеспечивать целостность, доступность и конфиденциальность обрабатываемой информации.
Государственная программа мер по поддержке развития в Российской Федерации перспективных отраслей - Национальная технологическая инициатива (НТИ) - предусматривает формирование рынка «Сейфнет» с целью развития безопасных и защищенных компьютерных технологий, решений в области передачи данных, безопасности информационных и киберфизических систем. Для реализации данного проекта возникает потребность в создании защищенного от модификации и перехвата управления отечественного системного и прикладного ПО для консолей управления техническими системами и контролле-
ров управления критически опасными техническими системами. Однако для обеспечения должного уровня защищенности разработанного ПО, необходимо однозначно определять этот уровень, то есть, проводить оценивание.
Степень разработанности темы. Компоненты встроенных систем нельзя назвать полностью защищенными. В связи с этим научное общество уделяет пристальное внимание проблеме оценки защищенности встроенного ПО. Среди открытых публикаций советских и российских ученых в области сертификации программ наиболее известны работы профессоров В.В.Липаева, Л.Г.Осовецкого и А.И.Костогрызова, статистической теории защиты информации - В.А.Герасименко и других. Проблемой оценки защищенности ПО в целом, и встроенных систем в частности, активно занимается Институт системного программирования РАН (Аветисян А.И., Падарян В.А). Проблеме динамического анализа программ посвящены работы Вартанова С.П. и Герасимова А.Ю. Оценке надежности и безопасности функционирования программных средств посвящены работы сотрудников ГК НПО «Эшелон» Маркова А.С, Цирлова В.Л., Барабанова А.В. Исследованиям проектирования и конфигурирования защищенных встроенных систем посвящены работы сотрудников Санкт-Петербургского института информатики и автоматизации РАН Десницкого В.А., Котенко И.В
Вопросам поиска уязвимостей встроенного ПО посвящены работы зарубежных авторов из высшей инженерной школы и исследовательского центр коммуникационных систем EURECOM (M. Muench, J. Stijohann, D. Balzarotti, A. Costin, J. Zaddach), частного исследовательского университета Northwestern University (J. Zambreno, A. Choudhary), Брауншвейгского технического университета (F. Yamaguchi), VUSec, Амстердамского свободного университета (D. Andriesse, H. Bos).
Однако, несмотря на значительный объем исследований, в настоящее время отсутствует единый подход к решению задачи оценки защищенности встроенного ПО. В силу растущего многообразия классов программных средств встроенных систем, а также поддержки большого количества различных архитектур, невозможно эффективно оценить защищенность встроенного ПО с помощью детерминированных систем оценивания, в том числе, по причине отсутствия исчерпывающей информации о наличии дефектов безопасности и характере программных дефектов в встроенном ПО. В свою очередь системы на основе нечеткой логики могут работать в условиях неполноты исходной информации.
Таким образом, проблема оценки защищенности встроенного ПО является актуальной, поскольку своевременное обнаружение дефектов безопасности позволяет предотвратить как нарушение целостности (внедрение программных закладок в код встроенного ПО), доступности
(возникновение функционального отказа системы) и конфиденциальности (возможную утечку данных) в частности, так и проведение целенаправленных атак на информационные и киберфизические системы, частью которых является уязвимое встроенное ПО, в целом.
Научно-техническая задача, решаемая в диссертации, заключается в создании методов оценивания защищенности встроенного ПО, применимого в условиях неполноты исходной информации о наличии дефектов безопасности и характере программных дефектов в встроенном ПО. Решение данной задачи имеет научную и практическую ценность для создания безопасных программных средств встроенных систем.
Объектом исследования является программное обеспечение встроенных систем, находящихся под угрозой нарушения целостности, доступности и конфиденциальности обрабатываемой информации.
Предметом исследования являются модели, методы и алгоритмы оценки защищенности программных средств.
Целью диссертационной работы является совершенствование методов и средств оценки защищенности встроенного программного обеспечения на основе применения методов нечеткой логики за счет повышения эффективности процесса выявления и идентификации дефектов безопасности встроенного ПО.
Для достижения поставленной цели требуется решение следующих частных задач:
1. Провести анализ существующих методов оценки защищенности встроенного ПО.
2. Разработать метод и алгоритм идентификации типа исполняемого файла встроенного ПО.
3. Разработать метод и алгоритм выявления программных дефектов и идентификации дефектов безопасности встроенного ПО.
4. Разработать метод и алгоритм оценки защищенности встроенного ПО в условиях неполноты исходной информации о наличии дефектов безопасности и характере программных дефектов.
5. Разработать программный комплекс для оценки защищенности встроенного ПО и провести апробацию предложенных методов.
Методология и методы исследования. Для решения поставленных задач были использованы методы математического моделирования, системного анализа, теории нечетких множеств и нечеткой логики, теории автоматов, теории информационной безопасности, экспертных оценок, статического и динамического анализа кода, автоматического тестирования.
Основные положения, выносимые на защиту:
1. Метод и алгоритм идентификации типа исполняемого файла встроенного ПО, основанный на определении характеристик распределения байтов в исполняемом файле встроенного ПО.
2. Метод и алгоритм выявления программных дефектов и идентификации дефектов безопасности встроенного ПО, основанный на фаззинг-тестировании фрагмента исполняемого файла встроенного ПО.
3. Метод и алгоритм оценки защищенности встроенного ПО, заключающийся в оценке риска эксплуатации дефектов безопасности встроенного ПО на основе нечеткой логики.
Научная новизна.
1. Разработан оригинальный метод и алгоритм идентификации типа исполняемого файла встроенного ПО, отличающийся использованием критерия согласия Пирсона для проверки гипотезы о равномерном распределении байтов в файле, а также применение метода Монте-Карло для аппроксимации числа п с целью вычисления характеристик распределения байтов в файле.
2. Разработан оригинальный метод и алгоритм выявления программных дефектов и идентификации дефектов безопасности встроенного ПО, отличающийся использованием методов эмуляции и динамической инструментации фрагмента исполняемого файла и фаззинга на основе оригинальных алгоритмов мутации входных данных, поддерживающий различные классы программных средств.
3. Разработан метод и алгоритм оценки защищенности встроенного ПО, отличающийся возможностью работы в условиях неполноты исходной информации о наличии дефектов безопасности и характере программных дефектов, а также возможной противоречивости оценок, даваемых экспертами, что позволяет выполнить оценку защищенности встроенного ПО большого количества различных архитектур.
Достоверность полученных результатов обеспечивается качественным анализом состояния исследований в данной области, корректным использованием математического аппарата теории информационной безопасности, теории нечетких множеств и нечеткой логики, использованием научно-обоснованных методов и алгоритмов, представлением результатов исследования в печатных трудах и докладах на российских и международных научных конференциях, а также регистрацией ПО для ЭВМ.
Теоретическая и практическая значимость результатов диссертационной работы состоит в совершенствовании методов и средств оценки защищенности встроенного ПО в условиях возможной нечеткости
и неполноты исходной информации о наличии дефектов безопасности и характере программных дефектов, а также повышении эффективности процесса выявления и идентификации дефектов безопасности встроенного ПО.
Разработанные в ходе исследования методы и алгоритмы, а также программный комплекс могут быть использованы для оценки защищенности разрабатываемых и уже существующих программных средств, а также при проведении сертификационных испытаний по требованиям руководящих документов.
Внедрение результатов работы. Результаты диссертационной работы использовались при проведении прикладных научных исследований в федеральном государственном автономном образовательном учреждение высшего образования «Национальный исследовательский университет ИТМО»:
— НИР №717075 «Методы, модели, методики, алгоритмы, протоколы и приложения для обеспечения информационной безопасности киберфизических систем»;
— НИР №619296 «Разработка методов создания и внедрения кибер-физических систем»;
— НИР №617026 «Разработка методов интеллектуального управления киберфизическими системами с использованием квантовых технологий».
Апробация результатов работы. Основные результаты работы докладывались и обсуждались на следующих конференциях:
1. Международная конференция «Прикладная физика, информационные технологии и инжиниринг» - «Conference on Applied Physics, Information Technologies and Engineering» (2019 г.)
2. XXXII Международная научная конференция "Математические Методы в Технике и Технологиях" - ММТТ-32 (2019 г.)
3. XLVI, XLVII, XLVIII Научная и учебно-методическая конференции Университета ИТМО (2017-2019 гг.)
4. VI, VII, VIII Всероссийский конгрессе молодых ученых (2017-2019 гг.)
5. VII Всероссийская научно-техническая конференция «Проблема комплексного обеспечения информационной безопасности и совершенствование образовательных технологий подготовки специалистов силовых структур» (2016 г.)
Личный вклад автора. Все результаты, изложенные в диссертации, получены автором самостоятельно. Постановка цели и задач, обсуждение планов исследований и полученных результатов выполнены автором совместно с научным руководителем. Программная реализация
предложенных в работе алгоритмов в виде программного комплекса также выполнена автором самостоятельно.
Публикации. Основные результаты по теме диссертации изложены в 9 публикациях. Из них 4 изданы в журналах, рекомендованных ВАК, 1 опубликована в изданиях, индексируемых в базе цитирования Scopus. Также имеется 1 свидетельство о государственной регистрации программ для ЭВМ.
Содержание работы
Во введении обоснована актуальность исследований, проводимых в рамках диссертационной работы, сформулированы цели и задачи исследования, основные положения, выносимые на защиту, отмечена научная новизна, теоретическая и практическая значимость полученных результатов.
Первая глава посвящена анализу состояния проблемы выявления и идентификации угроз нарушения ИБ встроенного ПО, обзору существующих методов и алгоритмов оценки защищенности встроенного ПО.
В разделе 1.1 дано определение встроенным системам и встроенному ПО, приведен обзор и анализ угроз нарушения ИБ встроенного ПО
Под встроенными системами понимается множество устройств, предназначенных для взаимодействия с физическим миром через ряд периферийных устройств. Встроенное ПО представляет собой специальный класс ПО, который обеспечивает управление встроенной системой на уровне аппаратной части.
Проведено исследование актуальности угроз нарушения информационной безопасности (ИБ) встроенных систем в целом, и встроенного ПО в частности. Исследована распространенность встроенного ПО в российском сегменте Интернета. Для этого использовалась информация, полученная в результате сканирования портов ресурсов, доступных в сети Интернет, с помощью поисковой системы Censys1,2. Ввиду ограничений, связанный с количеством сканируемых портов и частой блокировкой администраторами безопасности сервиса Censys, для расши-
1Durumeric, Z. [et al.]. A search engine backed by Internet-wide scanning // Proceedings of the 22nd ACM SIGSAC Conference on Computer and Communications Security. 2015. P. 542-553.
2Censys Search, [Электронный ресурс]. URL: https://censys.io/ipv4.
рения области анализа в том числе использовались данные, полученные с помощью поисковых систем Google3 и Shodan4'5.
В результате исследования на территории РФ выявлено более 160 тыс. устройств, функционирующих под управлением встроенного ПО, доступного из сети Интернет. Самыми распространенными производителями таких систем являются MikroTik (50,3 тыс. устройств), Cisco (21 тыс. устройств) и Synology (4,5 тыс. устройств). Подавляющее большинство таких систем - LAN и WAN маршрутизаторы (50,5 тыс. устройств), но встречаются также промышленное сетевое оборудование (19,1 тыс. устройств) и сетевые хранилища данных (6,8 тыс. устройств).
Показано, что с ростом количества встроенных систем, увеличивается количество атак, совершаемых на такие системы6'7'8. Такой рост числа обнаруженных уязвимостей во встроенных системах обусловлен, в первую очередь, автоматизацией процесса производства, переходом индустриальных компаний к киберфизическим системам, а также повышенным интересом к промышленному и топливно-энергетическому сектору со стороны различных злоумышленников и группировок.
Рассмотрены угрозы нарушения ИБ встроенного ПО с целью получения несанкционированного доступа к защищаемой информации, получения контроля над управлением устройством посредством компрометации встроенного ПО, выведения системы или системного компонента из строя. Угрозы ПО встроенных систем были классифицированы следующим образом:
— программные, использующие дефекты безопасности в ПО, нарушающие целостность, доступность и конфиденциальность обрабатываемой информации;
— аппаратные неинвазивные, направленные на получение конфиденциальной информации, обрабатываемой на устройстве, по сторонним каналам;
3Google, [Электронный ресурс]. URL: https://google.com/.
4Matherly, J. C. SHODAN the computer search engine, [Электронный ресурс]. 2009. URL: http://www.shodanhq.com/help (дата обр. 27.07.2020).
5Shodan - The Search Engine, [Электронный ресурс]. URL: https://shodan.io/.
6Positive Technologies. APT-атаки на топливно-энергетический комплекс России: обзор тактик и техник, [Электронный ресурс]. 2019. URL: https://www.ptsecurity.com/upload/ corporate/ru-ru/analytics/apt-attacks-energy-2019-rus.pdf (дата обр. 27.07.2020).
7Positive Technologies. APT-атаки на промышленные компании в России: обзор тактик и техник, [Электронный ресурс]. 2019. URL: https://www.ptsecurity.com/upload/ corporate/ru-ru/analytics/apt-attacks-industry-2019-rus.pdf (дата обр. 27.07.2020).
8Positive Technologies. APT-атаки на промышленные компании в России: обзор тактик и техник, [Электронный ресурс]. 2019. URL: https://www.ptsecurity.com/upload/ corporate/ru-ru/analytics/cybersecurity-2019-2020-rus.pdf (дата обр. 27.07.2020).
— аппаратные инвазивные, имеющие разрушительное воздействие на аппаратное обеспечение встроенной системы, и как следствие, на целостность и доступность обрабатываемой информации.
Аппаратные угрозы нарушения информационной безопасности встроенного ПО выходят за рамки исследования. В дальнейшем под угрозами нарушения ИБ будут пониматься программные угрозы, использующие дефекты безопасности в ПО.
Под дефектом безопасности понимается программный дефект, эксплуатация которого приводит к нарушению целостности, доступности или конфиденциальности обрабатываемой информации. Под эксплуатацией понимается исполнение программы на некотором наборе входных данных, в результате которого исполняется один или несколько дефектов безопасности. Программный дефект - это аномалия продукта, благодаря которому система или системный компонент не выполняет требуемую функцию в указанных пределах.
В разделе 1.2 рассмотрены различные способы выявления программных дефектов и идентификации дефектов безопасности встроенного ПО.
A. Costin и соавторы9 представили первый общедоступный крупномасштабный анализ встроенного ПО путем статического анализа распакованных файлов. Собрав тысячи экземпляров встроенного ПО и проанализировав их, авторы показали, что пароли от учетных записей и скомпрометированные закрытые ключи для самозаверенных SSL-сер-тификатов наравне с устаревшим ПО делают многие образы прошивок уязвимыми. Y. Shoshitaishvili и соавторы10 удалось обнаружить дефекты безопасности встроенного ПО, использовав новую модель обхода процесса аутентификации при анализе исполняемых файлов встроенного ПО.
Статические методы анализа кажутся подходящими для исследования защищенности встроенного ПО, так как им не нужно исполнять ПО, а их эффективность не зависит от реального оборудования, на котором данное ПО функционирует. Однако существуют известные ограничения для методов статического анализа. Первый - ошибки первого рода (ошибочное отвержение), так как статический анализ в основном работает на некоторых известных сигнатурах дефектов безопасности. Для дефектов, чья сигнатура неизвестна, статические подходы терпят неудачу. Второе ограничение - это ошибки второго рода (ошибочное принятие), поскольку каждый обнаруженный дефект безопасности не обязательно является
9Costin, A. [et al.]. A large-scale analysis of the security of embedded firmwares // 23rd {USENIX} Security Symposium ({USENIX} Security 14). 2014. P. 95-110.
10Shoshitaishvili, Y. [et al.]. Firmalice-automatic detection of authentication bypass vulnerabilities in binary firmware. // NDSS. 2015.
эксплуатируемым. Требуется много ручных усилий для дальнейшего анализа, чтобы подтвердить или опровергнуть возможность эксплуатации обнаруженного дефекта безопасности.
Для преодоления озвученных ограничений, многие исследователи обращают внимание на методы динамического анализа. Так, D. D. Chen и соавторы11 представили автоматизированную систему динамического анализа для встроенного ПО на базе Linux: встроенное ПО полностью эмулируется и запускается с модифицированными ядром ОС и библиотекой энергонезависимой памяти (NVRAM). Тем не менее, информация о загрузке и конфигурации на разных устройствах различна. Таким образом, данный подход все еще требует много ручных усилий для эмуляции работы NVRAM при тестировании нового устройства.
Отделом «Информационных систем» Института системного программирования им. В.П. Иванникова Российской академии наук был разработан инструмент тестирования ИСП Фаззер12'13, предназначенный для динамического анализа ПО, способный работать при отсутствии исходного кода программ, однако данный инструмент также сталкивается с проблемой эмуляции энергонезависимой памяти исследуемых устройств.
Применение методов динамического анализа встроенного ПО является более предпочтительным. Однако, при этом возникает ряд сложностей, связанных с такими особенностями ПО встроенных систем, как многообразие классов программных средств, а также поддержки большого количества различных архитектур. В связи с этим, разработка метода и алгоритма выявления программных дефектов и идентификации дефектов безопасности встроенного ПО представленного в виде исполняемого кода при отсутствии исходных текстов является актуальной.
В разделе 1.3 проведен обзору существующих методов и алгоритмов оценки защищенности встроенного ПО.
На сегодняшний день, стандартом де-факто по оценке уязвимостей является CVSS14 - Common Vulnerability Scoring System - это система, которая позволяет провести оценку уязвимости ПО с точки зрения их характеристик и влияния на ПО. Оценка CVSS складывается из трех
11 Chen, D. D. [et al.]. Towards Automated Dynamic Analysis for Linux-based Embedded Firmware. // NDSS. Vol. 16. 2016. P. 1—16.
12Sargsyan, S. [et al.]. ISP-Fuzzer: Extendable Fuzzing Framework // 2019 Ivannikov Memorial Workshop (IVMEM). IEEE. 2019. P. 68—71.
13Институт системного программирования им. В.П. Иванникова РАН. Инструмент тестирования ИСП Фаззер, [Электронный ресурс]. URL: https://www.ispras.ru/technologies/ fuzzer/ (дата обр. 14.07.2020).
14Mell, P., Scarfone, K., Romanosky, S. Common vulnerability scoring system // IEEE Security & Privacy. 2006. Vol. 4, no. 6. P. 85—89.
критериев: базовый критерий, временной критерий и контекстный критерий. Каждая метрика представляет собой число (оценку) в интервале от 0 до 10 и вектор - краткое текстовое описание со значениями, которые используются для вывода оценки. Базовая метрика отображает основные характеристики уязвимости. Временная метрика соответствует таким характеристикам уязвимости, которые изменяются со временем, а контекстная метрика - характеристикам, которые уникальны для среды пользователя.
К недостаткам представленной системы относятся:
— оценка осуществляется с помощью жестко заданных абстрактных количественных значений;
— система не применима в условиях неполноты исходной информации об уязвимости;
— нет информации о степени уверенности эксперта в оценке.
Существует ряд других систем оценки уязвимостей, которые созданы коммерческими и некоммерческими организациями. Каждая из них имеет свои преимущества, но все они отличаются по тому, какой признак измеряется. Например, CERT/CC15 использует значения оценок от 0 до 180 и учитывает такие факторы, как, например, подвержена ли Интернет-инфраструктура риску и какой тип предусловий нужен для эксплуатации уязвимости. Система анализа уязвимостей SANS16 учитывает, в какой конфигурации найдена уязвимость - стандартной или нет, или является ли система клиентом или сервером. Система оценки от Microsoft17 пытается отразить сложность эксплуатации и общее воздействие от эксплуатации уязвимости на информационную систему.
Однако ни одна из них не удовлетворяет заявленным требованиям, а именно возможности работы в условиях неполноты исходной информации о свойствах исследуемого ПО, а именно, о реализуемых алгоритмах, о структурах данных в памяти, о структурах пакетов сетевых протоколов и других. В связи с этим, решение научно-технической и частных задач, поставленных в диссертации, является актуальным.
Во второй главе диссертационной работы предложена функциональная модель IDEF0 процесса оценки защищенности встроенного ПО, представлен метод и алгоритм идентификации типа исполняемого фай-
15United States Computer Emergency Readiness Team (US-CERT). US-CERT Vulnerability Note Field Descriptions, [Электронный ресурс]. URL: http://www.kb.cert.org/vuls/html/ fieldhelp (дата обр. 10.06.2020).
16SANS Institute. SANS Critical Vulnerability Analysis Archive, [Электронный ресурс]. URL: http://www.sans.org/newsletters/cva/ (дата обр. 10.06.2020).
17Microsoft Corporation. Microsoft Security Response Center Security Bulletin Severity Rating System, [Электронный ресурс]. URL: http://www.microsoft.com/technet/security/ bulletin/rating.mspx (дата обр. 10.06.2020).
ла встроенного ПО, а также метод и алгоритм выявления программных дефектов и идентификации дефектов безопасности встроенного ПО.
В разделе 2.1 разработана функциональная модель ГОЕЕ0, которая выделяет и обосновывает основные функции процесса оценки защищенности встроенного ПО. Функциональная модель, отображающая принцип работы, представлена на рисунке 1. Управляющими стрелками на ГОЕЕ-диаграммах являются правила, условия и требования, согласно которым регулируется деятельность и порядок оценки.
Рисунок 1 — Диаграмма декомпозиции первого уровня системы оценки
защищенности встроенного ПО
Функциональная модель позволяет поэтапно отобразить процесс оценки защищенности встроенного ПО.
Исследование программы может быть затруднено применением различных приемов антиотладки (шифрование) и упаковщиков кода (сжатия). Прежде чем приступить к выявлению программных дефектов и идентификации дефектов безопасности, необходимо определить тип исследуемого экземпляра встроенного ПО. Для определения подобных защит в разделе 2.2 был предложен метод и алгоритм идентификации типа исполняемого файла встроенного ПО.
Недостатки существующих решений заключаются в применении сигнатурных методов анализа исполняемых файлов, что ограничивает область их применения количеством известных сигнатур. Существующие
статистические методы, основанные на энтропийном анализе файлов, дают неоднозначный результат. Для определения способа преобразования данных предложен оригинальный метод обнаружения упакованных и зашифрованных данных в исполняемом файле встроенного программного обеспечения на определении характеристик распределения байтов в исполняемом файле встроенного ПО.
Поскольку каждый байт в файле может иметь одно из 256 возможных значений, файл случайных данных будет иметь равномерное распределение значений байта от 0 до 255 включительно.
Похожие диссертационные работы по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК
Модели, алгоритмы и методика проектирования защищенных от киберфизических атак систем физической безопасности на основе микроконтроллеров2021 год, кандидат наук Левшун Дмитрий Сергеевич
Разработка стратифицированных методик создания и вложения устойчивого к атакам декомпиляцией и обфускацией цифрового водяного знака в байт-код class-файлов java-приложений и информационных систем2024 год, кандидат наук Шариков Павел Иванович
Стеганографическое встраивание информации в память исполняемого кода и код веб-страницы2024 год, кандидат наук Мунько Сергей Николаевич
Модели и методы комплексной оценки рисков безопасности объектов критической информационной инфраструктуры на основе интеллектуального анализа данных2022 год, доктор наук Вульфин Алексей Михайлович
Выявление каналов компрометации персональных данных пользователей мобильных устройств на основе интеллектуальных технологий2023 год, кандидат наук Изергин Дмитрий Андреевич
Список литературы диссертационного исследования кандидат наук Югансон Андрей Николаевич, 2020 год
Литература
1. Langner R. Stuxnet: Dissecting a cyberwarfare weapon // IEEE Security & Privacy. 2011. V. 9. N 3. P. 49-51. doi: 10.1109/MSP.2011.67
2. Falliere N., Murchu L.O., Chien E. W32. stuxnet dossier // White paper, Symantec Corp., Security Response. 2011. V. 5. N 6. P. 29.
3. Antonakakis M., April T., Bailey M., Bernhard M., Bursztein E., Cochran J., Durumeric Z., Halderman J.A., Invernizzi L., Kallitsis M., Kumar D., Lever C., Ma Z., Mason J., Menscher D., Seaman C., Sullivan N., Thomas K., Zhou Y. Understanding the mirai botnet // Proc. 26th USENIX Security Symposium. 2017. P. 1093-1110.
4. Kolias C., Kambourakis G., Stavrou A., Voas J. DDoS in the IoT: Mirai and other botnets // Computer. 2017. V. 50. N 7. P. 80-84. doi: 10.1109/MC.2017.201
5. Cui A. Costello M., Stolfo S.J. When firmware modifications attack: A case study of embedded exploitation // Proc. 20th Annual Network & Distributed System Security Symposium (NDSS). 2013. P. 1-13.
6. Chen D.D., Egeley M., Woo M., Brumley D. Towards automated dynamic analysis for linux-based embedded firmware // Proc. of the Network and Distributed System Security Symposium (NDSS'16). 2016. P. 1-16. doi: 10.14722/ndss.2016.23415
References
1. Langner R. Stuxnet: Dissecting a cyberwarfare weapon. IEEE Security & Privacy, 2011, vol. 9, no. 3, pp. 49-51. doi: 10.1109/MSP.2011.67
2. Falliere N., Murchu L.O., Chien E. W32. stuxnet dossier. White paper, Symantec Corp., Security Response, 2011, vol. 5, no. 6, pp. 29.
3. Antonakakis M., April T., Bailey M., Bernhard M., Bursztein E., Cochran J., Durumeric Z., Halderman J.A., Invernizzi L., Kallitsis M., Kumar D., Lever C., Ma Z., Mason J., Menscher D., Seaman C., Sullivan N., Thomas K., Zhou Y. Understanding the mirai botnet. Proc. 26th USENIX Security Symposium, 2017, pp. 1093-1110.
4. Kolias C., Kambourakis G., Stavrou A., Voas J. DDoS in the IoT: Mirai and other botnets. Computer, 2017, vol. 50, no. 7, pp. 80-84. doi: 10.1109/MC.2017.201
5. Cui A. Costello M., Stolfo S.J. When firmware modifications attack: A case study of embedded exploitation. Proc. 20th Annual Network & Distributed System Security Symposium, 2013, pp. 1-13.
6. Chen D.D., Egeley M., Woo M., Brumley D. Towards automated dynamic analysis for linux-based embedded firmware. Proc. of the Network and Distributed System Security Symposium (NDSS'16), 2016, pp. 1-16. doi: 10.14722/ndss.2016.23415
7. Costin A., Zaddach J., Francillon A., Balzarotti D. A large-scale analysis of the security of embedded firmwares // Proc. 23rd USENIX Security Symposium. 2014. P. 95-110.
8. Feng Q., Zhou R., Xu C., Cheng Y., Testa B., Yin H. Scalable graph-based bug search for firmware images
Conference on Computer and Communications Security. 2016. P. 480-491. doi: 10.1145/2976749.2978370
9. Матвеева В.С. Статистические особенности данных, зашифрованных с помощью программных средств криптографической защиты информации, и способ их обнаружения // Информация и безопасность. 2015. Т. 18. № 1. С. 119-122.
10. Wu Y., Zhou Y., Saveriades G., Agaian S., Noonan J.P., Natarajan P. Local Shannon entropy measure with statistical tests for image randomness // Information Sciences. 2013. V. 222. P. 323-342. doi: 10.1016/j.ins.2012.07.049
11. Lyda R., Hamrock J. Using entropy analysis to find encrypted and packed malware // IEEE Security and Privacy. 2007. V. 5. N 2. P. 4045. doi: 10.1109/MSP.2007.48
12. Jeong G., Choo E., Lee J., Bat-Erdene M., Lee H. Generic unpacking using entropy analysis // Proc. 5th International Conference on Malicious and Unwanted Software (MALWARE 2010). 2010. P. 98105. doi: 10.1109/MALWARE.2010.5665789
13. Матвеева В.С. Критерий оценки содержимого файлов различных форматов на предмет их близости к случайным данным // Безопасность информационных технологий. 2015. Т. 22. № 1. С. 106-108.
14. Матвеева В.С. Новый способ различения сжатых форматов файлов от зашифрованных файлов // Проблемы информационной безопасности. Компьютерные системы. 2015. № 4. С. 131-139.
15. Алексеев И.В., Платонов В.В. Выявление зашифрованных исполняемых файлов на основе анализа энтропии для определения меры случайности байтовых последовательностей // Проблемы информационной безопасности. Компьютерные системы. 2016. № 4. С. 74-79.
Авторы
Югансон Андрей Николаевич — ассистент, Университет ИТМО, Санкт-Петербург, 197101, Российская Федерация, Scopus ID: 57211977888, ORCID ID: 0000-0002-8231-5684, a_yougunson@itmo
7. Costin A., Zaddach J., Francillon A., Balzarotti D. A large-scale analysis of the security of embedded firmwares. Proc. 23rd USENIX Security Symposium, 2014, pp. 95-110.
8. Feng Q., Zhou R., Xu C., Cheng Y., Testa B., Yin H. Scalable graph-based bug search for firmware images.
Conference on Computer and Communications Security, 2016, pp. 480-491. doi: 10.1145/2976749.2978370
9. Matveeva V.S. Statistical features of data encrypted by cryptographic information protection software, and their detection method. Informatsiya i Bezopasnost, 2015, vol. 18, no. 1, pp. 119-122. (in Russian)
10. Wu Y., Zhou Y., Saveriades G., Agaian S., Noonan J.P., Natarajan P. Local Shannon entropy measure with statistical tests for image randomness. Information Sciences, 2013, vol. 222, pp. 323-342. doi: 10.1016/j.ins.2012.07.049
11. Lyda R., Hamrock J. Using entropy analysis to find encrypted and packed malware. IEEE Security and Privacy, 2007, vol. 5, no. 2, pp. 40^5. doi: 10.1109/MSP.2007.48
12. Jeong G., Choo E., Lee J., Bat-Erdene M., Lee H. Generic unpacking using entropy analysis. Proc. 5th International Conference on Malicious and Unwanted Software (MALWARE 2010), 2010, pp. 98105. doi: 10.1109/MALWARE.2010.5665789
13. Matveeva V.S. The criterion for assessing the file content for its proximity to the random data. IT Security, 2015, vol. 22, no. 1, pp. 106-108. (in Russian)
14. Matveeva V.S. A new approach to differentiate compressed file formats from encrypted files. Information Security Problems. Computer Systems, 2015, no. 4, pp. 131-139. (in Russian)
15. Alekseev I.V., Platonov V.V. Identification of the encrypted executable files based on the entropy analysis for detection value randomness of byte sequences. Information Security Problems. Computer Systems, 2016, no 4, pp. 74-79. (in Russian)
Authors
Andrei N. Iuganson — Assistant, ITMO University, Saint Petersburg, 197101, Russian Federation, Scopus ID: 57211977888, ORCID ID: 0000-0002-8231-5684, a_yougunson@itmo.ru
Г.3 Подход к оценке защищенности встроенного программного обеспечения в условиях нечеткости входной информации
ISSN2072-9502. Вестник АГТУ. Сер.: Управление, вычислительная техника и информатика. 2020. № 1
DOI: 10.24143/2072-9502-2020-1-50-56 УДК 004.056
ПОДХОД К ОЦЕНКЕ ЗАЩИЩЕННОСТИ ВСТРОЕННОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ В УСЛОВИЯХ НЕЧЕТКОСТИ ВХОДНОЙ ИНФОРМАЦИИ
А. Н. Югансон, Д. А. Заколдаев
Университет ИТМО, Санкт-Петербург, Российская Федерация
Вопросы защищенности и безопасности программного обеспечения оказываются второстепенными при проектировании и разработке программных средств в целях скорейшего вывода программного продукта на рынок. В связи с тем, что стоимость устранения дефектов безопасности выше на поздних этапах проектирования, рассмотрена научная задача оценки защищенности программного обеспечения в условиях высокой неопределенности. Приведены функциональные требования к защищенности встроенного программного обеспечения. Предложен новый подход для оценки защищенности программного обеспечения. Предметом исследования является встроенное программное обеспечение, предназначенное для управления различными устройствами и микроконтроллерами. На основе ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования» разработаны требования (качественные и количественные) защищенности к встроенному программному обеспечению, оценка выполнения которых позволяет определить уровень защищенности встроенного программного обеспечения в целом. Аппарат нечеткой логики был использован для оптимизации процесса оценивания в условиях возможной неопределенности, несогласованности, неполноты и качественного характера исходной информации. Предложенный метод поможет минимизировать экономические риски на этапах эксплуатации и технического обслуживания встроенных систем.
Ключевые слова: встроенное программное обеспечение, нечеткая логика, защищенность программных средств, уязвимость программного обеспечения.
Для цитирования: Югансон А. Н, Заколдаев Д. А. Подход к оценке защищенности встроенного программного обеспечения в условиях нечеткости входной информации // Вестник Астраханского государственного технического университета. Серия: Управление, вычислительная техника и информатика. 2020. № 1. С. 50-56. DOI: 10.24143/2072-9502-2020-1-50-56.
Введение
Одними из ключевых решений в области автоматизации и управления технологическими процессами в рамках концепции Индустрии 4.0 являются встроенные вычислительные системы [1]. Сама встроенная система представляет собой специализированную информационно-управляющую систему для выполнения определенного набора функций, которая состоит из аппаратных и программных компонентов. Связь между программной частью системы, с одной стороны, и аппаратной, с другой, обуславливает наличие дополнительных ограничений, влияющих на процесс проектирования таких устройств. Встроенное программное обеспечение (ВПО) - это программное обеспечение (ПО), встроенное в аппаратные системы и предназначенное для управления устройствами. Поскольку ПО является основным компонентом встраиваемых систем, очень важно правильно и адекватно протестировать ВПО, особенно для критически важных систем. Из-за сложного системного контекста встроенных программных приложений дефекты в этих системах могут вызывать опасные для жизни ситуации, а задержки могут привести к огромным потерям в бизнесе [2].
Как известно, безопасность является основным требованием для любой информационной системы, и встроенные системы не являются исключением. Достижение данной цели возможно благодаря внедрению SDL (англ. Secure Development Lifecycle - жизненный цикл безопасной разработки) для решения проблем безопасности на всех уровнях [3].
Под защищенностью ВПО понимается вероятность, характеризующая способность программы сохранять заданный уровень пригодности в заданных условиях в течение заданного интервала времени, где в качестве ограничения уровня пригодности рассматриваются дефекты безопасности и уязвимости. Дефект также может быть определен как аномалия продукта [4]. Вероятность является функцией входных данных и использования системы, а также функцией
наличия неисправностей в ПО. Защищенность предназначена для количественной оценки вероятности сбоя ПО. Отказ определяется как прекращение способности функционального блока выполнять требуемую функцию. С другой стороны, отказ может быть определен как событие, в котором система или системный компонент не выполняет требуемую функцию в указанных пределах [5]. Как правило, защищенность объекта - это его защита от внешних источников опасности, в то время как безопасность объекта - это внутреннее свойство объекта не быть источником опасности для окружающей среды.
Во встроенных системах даже небольшие ошибки в ПО могут иметь серьезные последствия, поскольку они могут полностью нарушить взаимодействие системы с физическим миром. Стоимость устранения уязвимостей и дефектов безопасности выше на поздних стадиях проектирования.
Современные стандарты разработки промышленного ПО предполагают преобладание проблемы обеспечения защищенности работы ПО над его оценкой. Парадокс заключается в том, что для правильного обеспечения уровня защищенности разрабатываемого ПО необходимо однозначно определить этот уровень. На сегодняшний день в отрасли не принят единый стандарт для оценки защищенности ВПО. Таким образом, оценка защищенности ВПО в настоящее время является актуальной задачей при проектировании встраиваемых киберфизических систем.
Функциональные требования к защищенности встроенного программного обеспечения
Недостатком существующих подходов по оценке защищенности и безопасности ВПО является отсутствие методологической основы для интегрального анализа выполнения качественных и количественных требований к защищенности ВПО. Для повышения эффективности и оптимизации процесса оценивания предлагается использовать теорию нечетких множеств [6].
Большинство показателей ПО связаны с неопределенностью. Таким образом, необходимо агрегировать результаты экспертного опроса в системе нечеткого вывода [7]. Такой подход позволит получить неясные выводы о необходимом уровне защищенности ВПО на основе нечетких условий или предпосылок, которые представляют информацию о текущем состоянии объекта.
Рассмотрим оценку защищенности ВПО на этапе квалификационного тестирования. В качестве функциональных требований к защищенности ВПО были использованы результаты исследования [8], систематизирующие сведения о существующих способах разработки безопасного ПО в соответствии с этапами жизненного цикла изделия.
Оценка выполнения качественных требований к защищенности встроенного программного обеспечения
В первую очередь, необходимо разработать систему нечеткого логического вывода для качественных критериев, таких как функциональное тестирование и анализ уязвимостей. Они рассматриваются как входные переменные, тогда как качественная оценка защищенности считается выходной переменной.
В общем случае разработка и применение систем нечеткого вывода включают ряд этапов, реализация которых выполняется на основе положений нечеткой логики:
- определение перечня входных переменных;
- формирование базы правил;
- фаззификация (представление физического значения признака в лингвистическом виде);
- поиск правил в базе знаний;
- свертка простых высказываний в условной части правил и оценка ее истинности;
- формирование заключений;
- дефаззификация (представление получившихся в результате нечетких рассуждений лингвистического значения параметра в количественном виде).
Под базой правил в данном случае понимается формальное представление эмпирических знаний экспертов в форме нечетких продукционных правил. Нечеткое продукционное правило -это выражение вида
(/) : Q;Р; А ^ В; 5, F,N,
где (/) - имя нечеткой продукции; Q - сфера применения нечеткой продукции; Р - условие применимости ядра нечеткой продукции; А ^ В - ядро нечеткой продукции, в котором А - условие ядра (или антецедент), В - заключение ядра (или консеквент), ^ - знак логической секвенции или следования; 5 - метод или способ определения количественного значения степени истинности
заключения ядра; F - коэффициент определенности или уверенности нечеткой продукции; N -постусловия продукции.
Таким образом, система состоит из следующих лингвистических переменных:
- 1}у АТЕриьг = функциональное тестирование;
- 1 = АУАУШ = анализ уязвимостей;
- 13 = ТЕЕТдА = качественная оценка защищенности на этапе квалификационного тестирования.
При задании входных и выходных лингвистических переменных, которые характеризуют показатели защищенности, необходимо задать функции принадлежности для нечетких множеств, которые характеризуют терм-множества лингвистических переменных. В работе предлагается использование типовых функций трапецеидального типа (табл. 1).
Таблица 1
Терм-множества лингвистических переменных
Tatefun Tavavan Tтest_qa
Неудовлетворительно Неудовлетворительно Очень низкий
(1, 1, 5, 20) (1, 1, 5, 20) (1, 1, 5, 20)
Плохо Плохо Низкий
(5, 15, 30, 40) (5, 15, 30, 40) (5, 15, 30, 40)
Удовлетворительно Удовлетворительно Средний
(25, 40, 60, 75) (25, 40, 60, 75) (25, 40, 60, 75)
Хорошо Хорошо Высокий
(60, 70, 85, 95) (60, 70, 85, 95) (60, 70, 85, 95)
Отлично Отлично Очень высокий
(80, 95, 100, 100) (80, 95, 100, 100) (80, 95, 100, 100)
После того как нечеткие входные и выходные множества и функции принадлежности созданы, формируется набор нечетких правила «ЕСЛИ-ТО», чтобы отразить отношения между любым возможным отношением входных переменных и выходной переменной. Уровни входных параметров, определенные на предыдущем шаге, являются антецедентами, а выходного параметра - консеквент. Нечеткое причинно-следственное отношение между антецедентом и консеквентом задается в виде нечеткой продукции. Нечеткие продукционные правила для качественной оценки защищенности на этапе квалификационного тестирования приведены в табл. 2.
Таблица 2
База нечетких продукционных правил
Правило Антецедент Консеквент
Ri ((ATEpun = Н ) л (ÄVÄ¥AN = Н ))v ((ATEpun = П )л (ÄVÄ¥AN = Н )) v V ((ATEpun = Н ) л (AVÄvan = П )) TESTqa = ОН
Ä2 (( ÄTEpun = Н ) л (ÄVÄVAN = У )) V (( ÄTEpun = П ) л (ÄVÄVAN = П )) V ((ÄTEpun = П ) л (ÄVÄVAN = У )) V ((ÄTEpun = У ) л (ÄVÄvan = Н )) V ((ÄTEpun = У) л (ÄVÄvan = П )) TESTqa = Н
Ä3 ((ÄTEpun = Н)л (ÄVA^ = X)) V ((ÄTEFUN = Н)л (ÄVAvan = О)) V ((ÄTEpun = П) л (ÄVÄvan = X)) V ((äTEfun = П) л (ÄVÄvan = О)) V ((äTEun = У) л (ÄVÄvan = У)) V ((äTEun = X) л (ÄVÄvan = П)) V ((äTEun = X ) л (ÄVÄvan = Н )) V ((ÄTEf,n, = О ) л (ÄVÄvan = П)) V ((ÄTEpun = О) л (ÄVÄvan = Н )) TESTqa = С
Ä4 (( ÄTEpun = У) л (ÄVÄvan = X)) V (( ÄTEpun = У) л (ÄVÄvan = О)) V ((ÄTEpun = X ) л (ÄVÄvan = У ))v ((ÄTEpuv = X) л (ÄVÄvan = X ))v ((ÄTEpun = О) л (ÄVÄvan = У)) TESTqa = В
Ä5 (( ÄTEpun = О ) л( ÄVÄVAN, = О )) v(( ÄTEpunN = X ) л (ÄVÄVAN = О )) V((ATEp„ = О )a(AVAvan = X)) TESTqa = ОВ
В предлагаемом методе нечеткие правила определяются с помощью эксперта по предметной области [9].
При качественной оценке защищенности ВПО на этапе квалификационного тестирования в качестве правила вычисления нечеткой импликации применяется классическая нечеткая импликация Л. Заде [10]:
В результате дефаззификации происходит преобразование нечеткого множества в четкое число. Для дефаззификации выходной переменной используется метод центра площади:
где x - переменная, соответствующая выходной лингвистической переменной и принимающая значения от x = min до x = max; min и max - левая и правая точки интервала носителя нечеткого множества; ц(х) - функция принадлежности нечеткого множества.
Результатом нечеткого моделирования является качественная и количественная оценки защищенности ВПО на заданном этапе жизненного цикла изделия. Данная оценка интерпретируется как оценка возможности нейтрализации угроз безопасности ВПО.
Данный подход к оценке качественных требований к защищенности позволяет снять ограничения на количество входных переменных, которые необходимо учитывать.
Оценка выполнения количественных требований к защищенности встроенного программного обеспечения
К количественным функциональным требованиям к защищенности ВПО на этапе квалификационного тестирования относятся глубина тестирования и тестовое покрытие.
Анализ тестового покрытия (ATECOV) выражается в процентном эквиваленте и оценивает исполнимость написанного программного кода. Покрытие кода учитывается в блоках. Блок - это единица кода, которая представляет собой последовательность инструкций с ровно одной точкой входа и выхода. Если поток управления программы проходит через блок во время тестового прогона, этот блок считается закрытым. Количество раз использования блока не влияет на результат.
Одним из преимуществ оценки тестового покрытия на основе оценки покрытия базовых блоков (конструкций кода) состоит в том, что данная методика может быть также применена к объектному (бинарному) коду, что в случае ВПО является критически важным.
В общем случае тестовое покрытие можно вычислить следующим образом:
где ВсоУ- количество проверенных блоков кода; В - общее количество блоков кода в программе.
Анализ глубины тестирования (АТЕГ)РТ) выражается в процентном эквиваленте и оценивает как содержание тестовых процедур, с одной стороны, так и уровень завершенности тестирования - с другой.
При проведении тестирования объектного кода ВПО предлагается оценивать глубину покрытия требований следующим образом:
где RDPт - количество проверенных требований, предъявляемых к программе; R - общее количество требований. Полный перечень требований формируется на начальном этапе жизненного цикла программы - в процессе анализа требований к ПО, - где определяются требования в части разработки безопасного ПО, предъявляемые к разрабатываемому ПО.
Интегральная оценка защищенности встроенного программного обеспечения
Оценка защищенности ВПО - это величина, заданная на множестве функций оценки защищенности ВПО на каждом этапе жизненного цикла программы:
М-R (x У ) = max {min [мa (x) ^в (y )] t1 - МA (x)]}
' М / \ С max / \ М (x )dx = 1 м (x )dx,
max
ATECOV = BCOV / в,
ATEDPT — R~dpt / R,
где fReq - функция оценки защищенности на этапе анализа требований к архитектуре; fD - функция оценки защищенности на этапе проектирования архитектуры; f - функция оценки защищенности на этапе разработки; fV - функция оценки защищенности на этапе квалификационного тестирования; fRei - функция оценки защищенности на этапе инсталляции и приемки; fSup -функция оценки защищенности на этапе поддержки.
Функцию оценки защищенности ВПО на этапе квалификационного тестирования можно представить следующим образом:
fV — TESTQA ' ®QA + ATECOV ' ®COV + ATEDPT ' ®DPT ,
где ®qA,®cov ,fflDPT - весовые коэффициенты свойств защищенности на этапе квалификационного тестирования, при условии fflQA + raCOV + raDPT — 1 и fflQA — raCOV — raDPT .
Таким образом, fV интерпретируется как вероятность ВПО сохранять заданный уровень пригодности на этапе квалификационного тестирования, где в качестве ограничения уровня пригодности рассматриваются дефекты безопасности и уязвимости.
Заключение
Встроенное программное обеспечение должно быть спроектировано таким образом, чтобы вероятность его отказа была минимальной. Существующие системы оценки защищенности ПО основаны на бинарной системе, в которой, согласно экспертному опросу, имеется либо безопасное, либо небезопасное состояние. Предложенный в работе подход базируется на использовании аппарата нечеткой логики для получения промежуточных оценок экспертного опроса и оптимизации процесса оценивания в условиях возможной неопределенности, несогласованности, неполноты и качественного характера исходной информации от экспертов.
Преимущества предлагаемого подхода заключаются в том, что, во-первых, он позволяет получать численные оценки защищенности ВПО с учетом качественных и количественных показателей защищенности на различных этапах жизненного цикла программы. Во-вторых, экспертное заключение основано на критериях оценки безопасности ПО, сформированных в ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования». В-третьих, этот метод позволит учитывать как качество вводимой информации, так и достоверность информации от экспертов. В-четвертых, этот подход имеет большой потенциал и позволит адаптировать его к существующим моделям оценки качества ПО, а также изменить его в соответствии с различными типами ПО.
СПИСОК ЛИТЕРАТУРЫ
1. Зегжда Д. П., Васильев Ю. С., Полтавцева М. А., Кефели И. Ф., Боровков А. И. Кибербезопасность прогрессивных производственных технологий в эпоху цифровой трансформации // Вопр. кибербезопас-ности. 2018. № 2 (26). С. 2-15.
2. Ebert C, Jones C. Embedded Software: Facts, Figures, and Future // IEEE Computer. 2009. V. 42. P. 42-52.
3. HowardM., Lipner S. The security development lifecycle. Redmond: Microsoft Press, 2006. V. 8. 352 p.
4. IEEE Guide for the use of IEEE standard dictionary of measures to produce reliable software. IEEE, New York, IEEE Std. 982.2-1988. URL: https://standards.ieee.org/standard/982_2-1988.html (дата обращения: 20.07.2019).
5. IEEE Standard glossary of software engineering terminology. IEEE, New York, IEEE Std. 610.12-1990, pp. 1-84. URL: https://ieeexplore.ieee.org/document/159342 (дата обращения: 20.07.2019).
6. Рыжов А. П. Элементы теории нечетких множеств и ее приложений. М.: Диалог-МГУ, 1998. 81 c.
7. Югансон А. Н., Заколдаев Д. А. Разработка методики для расчета оценки технологической безопасности программных средств // Вестн. УрФО. Безопасность в информационной сфере. 2017. № 1 (23). С. 20-23.
8. Барабанов А. В., Марков А. С., Цирлов В. Л. 28 магических мер разработки безопасного программного обеспечения // Вопр. кибербезопасности. 2015. № 5 (13). С. 2-10.
9. Югансон А. Н., Заколдаев Д. А., Римша А. С. Применение теории нечетких множеств для оценки технологической безопасности программных средств // Математические методы в технике и технологиях -ММТТ. 2019. Т. 7. С. 20-24.
10. Zadeh L. A. Fuzzy Logic // Computer. 1988. V. 21. N. 4. P. 83-93.
Статья поступила в редакцию 18.12.2019
ИНФОРМАЦИЯ ОБ АВТОРАХ
Югансон Андрей Николаевич - Россия, 197101, Санкт-Петербург; Университет ИТМО; ассистент факультета безопасности информационных технологий; a_yougunson@itmo.ru.
Заколдаев Данил Анатольевич - Россия, 197101, Санкт-Петербург; Университет ИТМО; канд. техн. наук, доцент; декан факультета безопасности информационных технологий; d.zakoldaev@mail.ru.
Abstract. The article highlights the issues of security and software security, which turn to be secondary in the design and development of software tools in order to please the speedy launch of the software product on the market. Due to the fact that the cost of eliminating security defects is higher in the late stages of design, the scientific problem of assessing software security under high uncertainty has been considered. The functional requirements for security of the firmware are given. A new approach is proposed for assessing the firmware security. The subject of research is a firmware designed to control various devices and microcontrollers. Based on GOST R 56939-2016 "Information security. Secure software development. General requirements" there have been developed the security requirements (qualitative and quantitative) for the embedded software, the assessment of which allows determining the level of security of the firmware as a whole. The fuzzy logic apparatus was used to optimize the assessment process in conditions of possible uncertainty, inconsistency, incompleteness and qualitative nature of the input data. The proposed method will help minimize the economic risks at the stages of operation and maintenance of embedded systems.
Key words: firmware, fuzzy logic, software security, software vulnerability.
For citation: Iuganson A. N., Zakoldaev D. A. Approach to assessment of firmware security under fuzzy input data. Vestnik of Astrakhan State Technical University. Series: Management, Computer Science and Informatics. 2020;1:50-56. (In Russ.) DOI: 10.24143/2072-9502-2020-1-50-56.
1. Zegzhda D. P., Vasil'ev Iu. S., Poltavtseva M. A., Kefeli I. F., Borovkov A. I. Kiberbezopasnost' progres-sivnykh proizvodstvennykh tekhnologii v epokhu tsifrovoi transformatsii [Cybersecurity of advanced manufacturing technologies in the era of digital transformation]. Voprosy kiberbezopasnosti, 2018, no. 2 (26), pp. 2-15.
2. Ebert C., Jones C. Embedded Software: Facts, Figures, and Future. IEEE Computer, 2009, vol. 42, pp. 42-52.
3. Howard M., Lipner S. The security development lifecycle. Redmond: Microsoft Press, 2006. Vol. 8. 352 p.
4. IEEE Guide for the use of IEEE standard dictionary of measures to produce reliable software. IEEE, New York, IEEE Std. 982.2-1988. Available at: https://standards.ieee.org/standard/982_2-1988.html (accessed: 20.07.2019).
5. IEEE Standard glossary of software engineering terminology. IEEE, New York, IEEE Std. 610.12-1990, pp. 1-84. Available at: https://ieeexplore.ieee.org/document/159342 (accessed: 20.07.2019).
6. Ryzhov A. P. Elementy teorii nechetkikh mnozhestv i eeprilozhenii [Elements of theory of fuzzy sets and its applications]. Moscow, Dialog-MGU Publ., 1998. 81 p.
7. Iuganson A. N., Zakoldaev D. A. Razrabotka metodiki dlia rascheta otsenki tekhnologicheskoi bezopas-nosti programmnykh sredstv [Development of methodology for calculating technological safety assessment of software]. Vestnik UrFO. Bezopasnost' v informatsionnoi sfere, 2017, no. 1 (23), pp. 20-23.
8. Barabanov A. V., Markov A. S., Tsirlov V. L. 28 magicheskikh mer razrabotki bezopasnogo pro-grammnogo obespecheniia [28 magic measures for developing safe software]. Voprosy kiberbezopasnosti, 2015, no. 5 (13), pp. 2-10.
APPROACH TO ASSESSMENT OF FIRMWARE SECURITY UNDER FUZZY INPUT DATA
A. N. Iuganson, D. A. Zakoldaev
ITMO University, Saint-Petersburg, Russian Federation
REFERENCES
9. Iuganson A. N., Zakoldaev D. A., Rimsha A. S. Primenenie teorii nechetkikh mnozhestv dlia otsenki tekhnologicheskoi bezopasnosti programmnykh sredstv [Using theory of fuzzy sets to assess technological security of software]. Matematicheskie metody v tekhnike i tekhnologiiakh - MMTT, 2019, vol. 7, pp. 20-24.
10. Zadeh L. A. Fuzzy Logic. Computer, 1988, vol. 21, no. 4, pp. 83-93.
Iuganson Andrei Nikolaevich - Russia, 197101, Saint-Petersburg; ITMO University; Assistant of the Department of Secure Information Technologies; a_yougunson@itmo.ru.
Zakoldaev Danil Anatolievich - Russia, 197101, Saint-Petersburg; ITMO University; Candidate of Technical Sciences, Assistant Professor; Decan Faculty of Secure Information Technologies; d.zakoldaev@mail.ru.
The article submitted to the editors 18.12.2019
INFORMA TION ABOUT THE A UTHORS
Г.4 Об одном подходе к формированию перечня мер по защите информации в беспроводных сенсорных сетях газодобывающего предприятия
УДК 002:004.056 + 342.7 Вестник УрФО № 2(28) / 2018, с. 60-70
Римша А. С., Югансон А. Н., Римша К. С.
ОБ ОДНОМ ПОДХОДЕ К ФОРМИРОВАНИЮ ПЕРЕЧНЯ МЕР ПО ЗАЩИТЕ ИНФОРМАЦИИ В БЕСПРОВОДНЫХ СЕНСОРНЫХ СЕТЯХ ГАЗОДОБЫВАЮЩЕГО ПРЕДПРИЯТИЯ
Удаленное и географически распределенное расположение датчиков, промышленных контроллеров, приборов автоматики в АСУ ТП увеличивает риск вторжений и атак. В данной работе дана систематизация уязвимостей беспроводных сенсорных сетей АСУТП газодобывающего предприятия и атак, эксплуатирующих данные уязвимости. Предложена формула для вычисления коэффициента влияния отдельной уязвимости на величину потенциального ущерба. В заключении, сформулированы задачи, решение которых позволит спроектировать и построить защищенную беспроводную сенсорную сеть. Изложен общий подход к построению защищенной беспроводной сенсорной сети.
Ключевые слова: беспроводные сенсорные сети, киберфизическая система, информационная безопасность АСУТП, оценка рисков.
Rimsha A. S., Iuganson A. N., Rimsha K. S.
ON ONE APPROACH TO THE FORMATION OF A LIST OF MEASURES TO PROTECT INFORMATION IN WIRELESS SENSOR NETWORKS OF A GAS PRODUCING
ENTERPRISE
Remote and geographically distributed location of sensors, industrial controllers, automation devices in the automated process control system increases the risk of intrusions and attacks. In this paper, a systematiztion of threats and vulnerabilities is made for wireless sensor networks of the automated process control system of a typical gas producing enterprise. A formula is for calculating the coefficient of influence of an individual vulnerability on the magnitude of potential damage. In conclusion, the tasks are formulated, the solution of which will allow to design and build a protected wireless sensor network. The general approach to building a secure wireless sensor network is outlined.
Keywords: wireless sensor networks, cyber-physical system, SCADA information security, risk assessment.
Введение
В настоящее время применение проводных систем при эксплуатации автоматизированных систем управления технологическими процессами (АСУ ТП) не всегда эффективно из-за высокой стоимости монтажных и пусконаладочных работ, а также технического обслуживания. Кроме того, в некоторых ситуациях установка проводных датчиков вообще невозможна по технологическим или организационным причинам. Достоинствами беспроводных датчиков являются минимальные ограничения по их размещению, возможность внедрения и модификации сети таких датчиков на эксплуатируемом объекте без вмешательства в процесс функционирования, надежность и отказоустойчивость всей системы в целом при нарушении отдельных соединений между узлами [1].
В свою очередь особое внимание уделяется беспроводным сенсорным сетям (БСС): самоорганизующейся сети множества датчиков и исполнительных устройств, объединенных между собой посредством радиоканала. Данная технология имеет множество преиму-
ществ перед классическим проводным интерфейсом передачи данных: гибкая архитектура, снижение затрат при монтаже, высокие эксплуатационные параметры и другие [2].
Практическое использование беспроводных датчиков с автономным электропитани -ем долгое время сдерживалось низкой надежностью радиоканала по сравнению с проводным соединением, высокими стоимостью и энергопотреблением [3]. Сейчас, благодаря развитию элементной базы, миниатюризации интегральных микросхем и появлению новых технологий передачи информации, беспроводные датчики и основанные на них системы сбора данных и мониторинга стали реальностью и применяются во многих сферах деятельности человека [1].
Однако в связи с массовым внедрением киберфизических систем, и, как следствие, развитием рынка беспроводных устройств с одной стороны, и распространением промышленного шпионажа, распространением международного терроризма, увеличением количества техногенных аварий с другой стороны, обеспечение конфиденциальности ра-
диоканала, целостности передаваемой информации, доступности беспроводных устройств и каналов связи является одной из приоритетных задач при построении новых и совершенствовании существующих систем БСС.
Прежде всего, проведем обзор публикаций, охватывающих тематику "информационной безопасности беспроводных технологий". В работе [4] приведены принципы проектирования структуры сенсорной телекоммуникационной системы на базе технологии ZigBee оптимальной, по мнению авторов, для предприятий газотранспортной отрасли. Основной недостаток, с которым приходится сталкиваться при использовании беспроводных технологий - надежность таких сетей, которую можно повысить увеличением количества сенсоров. При этом авторы не рассматривают вопросы целостности, доступности и конфиденциальности информации, передаваемой от беспроводных модулей до центра управления. В работе [5] предложены методы резервирования и планирования приоритетов, алгоритмов маршрутизации и балансировки нагрузки для повышения надежности передачи технологических данных, что положительно сказывается на доступности БСС, но никак не на передаваемой в ней информации. Статья [6] содержит классификацию по типам и источникам угроз в беспроводных сетях на сигнальном и информационном уровне, однако вопросам резервирования и повышения отказоустойчивости беспроводных сетей должного внимания не было уделено.
Таким образом, задача классификации угроз уязвимостей БСС в типовом газодобывающем предприятии для топологии БСС mesh network (самоорганизующиеся сети) является актуальной.
Систематизировав уязвимости и атаки на БСС из указанных источников можно обозначить список мероприятий для защиты БСС от этих угроз.
Цель данной статьи - сформулировать перечень актуальных угроз и определить круг задач, решение которых позволит спроектировать защищенную БСС.
Описание структуры АСУ ТП газодобывающего предприятия
Типовое газодобывающее предприятие представляет собой территориально распределенную структуру, которая начинается от кустов газовых скважин и заканчивается цен-
тральным диспетчерским пунктом [7,8]. Как правило, в промышленных АСУТП выделяют три уровня:
- нижний уровень — уровень датчиков и исполнительных механизмов;
- средний уровень — уровень промышленных контроллеров;
- верхний уровень — система сбора данных и оперативного диспетчерского управления (англ., SCADA - Supervisory Control And Data Acquisition).
Анализ типовой архитектуры АСУ ТП позволяет выделить четыре зоны ответственности в плане реализации мероприятий безопасности беспроводных соединений:
1) транспортную зону сбора и передачи данных на основе беспроводной сенсорной сети, в которой узлы сенсорной сети объединены с датчиками, промышленными логическими контроллерами (ПЛК) и исполнительными механизмами, где выполняются производственные и технологические процессы [9];
2) зона беспроводной передача данных между серверами ввода/вывода (SCADA) и ПЛК, использующие подключение через радиомодем или устройство широкополосного доступа (УШПД);
3) интерфейсную зону диспетчерского контроля и управления, где работают операторы и диспетчеры с целью наблюдения за ходом выполнения технологического процесса [10,11];
4) зону выхода SCADA систем во внешнюю сеть для передачи данных в центральный офис (например, GSM связь).
Первая и вторая зоны ответственности являются предметом исследования. В этих зонах наиболее сложно реализовать традиционные меры обеспечения безопасности. Рассмотрим их подробнее.
Первая зона ответственности. Во-первых, производители датчиков, контроллеров и электронной компонентной базы разрабатывают собственные закрытые протоколы функционирования, которые не позволяют внедрить технологии защиты посредством IPSec, SSL и VPN и т. п. Во-вторых, довольно часто транспортная среда представляет собой пространственно-распределенные сети на большой территории. Такие сети характерны при реализации SCADA-систем городских инженерных коммуникаций [12] (сетей тепло-, водо-, электро- и газоснабжения), нефте- и газопроводов и т. п. Здесь для передачи данных и команд используются модемные соеди-
нения (GPRS,/3G) через существующие телефонные сети и сети операторов сотовой связи публичного доступа. Для функционирования сенсорных узлов им выделяются «серые» или «белые» IP-адреса в сети мобильного оператора, что фактически означает предоставление общедоступного канала для проведения внешних атак. В-третьих, при построении сети в рамках ограниченного пространства, контроллеры и исполнительные механизмы часто подключаются по последовательному интерфейсу (RS-232/RS-485) закрытой промышленной сети к MODBUS-серверу, или по беспроводной сенсорной сети к координатору. MODBUS-сервер и координатор, как правило, имеет шлюз для выхода в корпоративную сеть предприятия и далее в Интернет с поддержкой технологий удаленного доступа и управления по протоколам стека TCP/IP. Та -ким образом, обеспечивается доступ к данным и узлам SCADA-системы из корпоративной предприятия и диспетчерской зон и удаленный доступ из сети Интернет [13].
Вторая зона ответственности. На практике расстояние между технологическими установками, объединенными в одну систему управления, достигает нескольких километров, поэтому с точки зрения экономической эффективности (монтаж кабеля) и повышения надежности (обрыв кабеля) на удаленных объектах часто используются решения с применением беспроводного канала связи. В зависимости от расстояния между серверами ввода/вывода и ПЛК, а также наличия интерфейсов, используются подключение через радиомодем или устройство широкополосного доступа (УШПД). От радиомодема и УШПД сигнал приходит на радиомачту, от которой подключается к промышленному коммутатору. Помимо беспроводного подключения также могут использоваться волоконно-оптические линии, которые напрямую подключаются к коммутатору, но для повышения надежности приходится резервировать такие каналы связи, что увеличивает расходы. Одними из часто используемых шин передачи данных, используемых на производстве, являются Ethernet или специальная промышленная шина Profibus DP. Цифровая сеть позволяет объединить разнесенные компоненты системы в единый программно-аппаратный комплекс.
Сенсорные узлы могут включаться в общую инфраструктуру автоматически и спонтанно и размещаться на удаленных неохраня-
емых объектах, поэтому они могут быть захвачены и взломаны злоумышленником с целью использования их как источников атак. В сенсорных сетях немаловажное значение имеет своевременное обнаружение и изоляция таких скомпрометированных узлов, и активная защита от атак с их стороны до момента обнаружения. Критической угрозой для беспроводной сенсорной сети является внедрение через скомпрометированные узлы кодов для кражи важных данных о контролируемых процессах или для нарушения их корректной работы [13].
Постановка проблемы
Оценка уязвимости промышленной системы - это процесс выявления, анализа, классификации уязвимостей [14] с оценкой рисков безопасности и возможного ущерба при ее эксплуатации злоумышленниками или вредоносными программами [13].
При использовании беспроводной транспортной среды для передачи данных и команд достаточно просто перехватить и подменить кадры, передаваемые по сети, на кадры с вредоносным содержимым. Можно организовать генерацию и рассылку большого числа сторонних кадров в БСС, чтобы вызвать «отказ в обслуживании» (denial-of-service -DoS-атаку) промышленного оборудования или сетевого узла [15]. И, наконец, нарушить работу радиопередающих сетевых устройств можно путем генерации мощного электромагнитного излучения в частотном диапазоне БСС импульсного характера или сигнала типа «белый шум» (jamming attack) [13].
Выделим основные причины невысокой эффективности традиционных механизмов защиты передаваемых данных [16] для обеспечения безопасности SCADA-систем с беспроводными сенсорными сетями:
1) топология и динамические маршруты в сенсорной сети строятся на основе информации, полученной от координаторов, маршрутизаторов или оконечных сенсорных узлов по принципу «маршрутизация от источника» [1];
2) при работе алгоритмов маршрутизации используется механизм широковещательной рассылки маршрутных кадров и квитанций подтверждения. Широковещательная рассылка также используется при конфигурировании сети и поиске новых узлов;
3) после построения маршрута передача кадров осуществляется последовательно по цепочке между соседними узлами по одному
маршруту, который можно разрушить или изменить в любой момент времени;
4) идентификация сенсорных узлов и кадров данных осуществляется только на основе адресной информации, полученной сенсорными узлами от координатора сети, что позволяет подменить координатор и переназначить адреса;
5) аутентификация кадров данных и узлов сети в большинстве случаев просто не выполняется, что позволяет подменить сенсорные узлы и маршрутизаторы на «чужие» узлы с вредоносной «прошивкой». Широковещательная аутентификация узлов и кадров данных являются необходимым условием обеспечения защиты и устойчивости работы БСС [13].
Оценка рисков
Для примера возьмем множество всех беспроводных датчиков, используемых в технологическом процессе: с*еп,ог = {сГП50Г.....сГ5°г} , где СдБепзог - приемник, С^епэог, ... , Сзяепзог - беСПрОВОДНЫе датчики.
В отличие от предложенной обобщённой математической модели АСУТП [17] для представления взаимодействия устройств друг с другом будет использоваться сетевая модель ОБ!, где каждому ее уровню (физическому, канальному, сетевому, транспортному, сеансовому, представления, прикладному) будет соответствовать матрица смежности, размерность которой определяется числом компонентов системы |С|, а в качестве значений будут указываться сетевые протоколы [18]. Таким образом, множество взаимодействий устройств будет представлено в следующем виде:
S = {S1.....S7}
(1),
где , Sk =
k - уровень модели OSI, sij- протоколы взаимодействия. Беспроводные сенсорные сети организуются на двух основных топологиях [1]:
1. Mesh network - самоорганизующиеся ячеистые сети (рис. 1).
2. Звезда - жестко заданная сеть (рис. 2).
Самоорганизующиеся ячеистые сети (Mesh network) образуются на основе множества соединений типа «точка-точка», находящихся в области радиопокрытия друг друга (рис. 1).
Рис. 1. Ячеистая топология самоорганизующейся сети
Такая технология позволяет беспроводным полевым приборам самостоятельно взаимодействовать друг с другом. Ключевыми преимуществами ячеистых сетей являются: автоматическое соединение между датчиками и способность любого датчика выполнять функции транзитной передачи данных для других участников сети. Сеть на основе ячеистой топологии надежна, обладает большой пропускной способностью. Высокая надежность обеспечивается наличием резервных маршрутов передачи данных: при выводе одного из датчиков из эксплуатации данные будут передаваться в обход по резервному пути, если этот датчик не являлся ключевым в этой ветке. Использование нескольких альтернативных маршрутов повышает пропускную способность сети. Снижение энергопотребления достигается снижением мощности сигналов посредством передачи данных через большее число узлов, разделенных меньшими расстояниями [17].
Топология «звезда» представляет собой централизованную систему, в которой каждое полевое устройство связывается с одной общей точкой доступа (шлюзом) напрямую. Каждый полевой прибор должен иметь прямую видимость со шлюзом, поэтому при добавлении нового устройства в сеть необходимо обеспечить прямую видимость как минимум с одной точкой доступа (рис. 2).
Далее рассмотрим влияние основных типов уязвимостей на активы БСС. Под актива-
0
0
0
Рис. 2. Топология " звезда" для самоорганизующейся сети
ми будем рассматривать элементы беспроводной системы, под уязвимостями - условия реализации угрозы (табл. 1).
Количественное определение влияния конкретной уязвимости на определенный актив определяется экспертным путем на основе типовой модели угроз, разработанной для конкретного газодобывающего предприятия, использующего БСС в своей архитектуре АСУ ТП [19].
Влияние одной уязвимости на множество активов рассчитывается по следующей формуле:
п
(2)
V
& х 4
I=1
При реализации угрозы нарушается технологический процесс, результатом которого может быть выход из строя компонентов системы [20]. Под ущербом, нанесенным в таком случае, будем понимать совокупность
Таблица 1
Матрица влияния уязвимостей на активы для беспроводных технологий
№ п/п Уязвимости\Активы Прием -ник Передатчик Антенны
Угрозы нарушения конфиденциальности
1 Наличие в передаваемых данных отличительных признаков, работа на одном канале У1,1 У1,2 У1,З
2 Использование стандартных форматов без дополнительной коррекции У2,1 У2,2 У2,З
3 Отсутствие маскировки синхронизации и маркеров доступа УЗ,1 УЗ,2 УЗ,З
4 Возможность сбора статистики передачи информации, использование при передаче открытых кодов У4,1 У4,2 У4,З
5 Наличие коррелятов в базе принимаемого (перехваченного) сигнала, компрометация ключей, получение блока нешифрованного сигнала У5,1 У5,2 У5,З
6 Наличие в каналах незашифрованной и расшифрованной информации У6,1 У6,2 У6,З
7 Наличие аппаратуры на прием У7,1 У7,2 У7,З
Угрозы нарушения целостности
8 Наличие пересечений в сигнальных и логических областях команд и директив У8,1 У8,2 У8,З
9 Неполная реализация протокола У9,1 У9,2 У9,З
10 Низкая фильтрация сигналов основного канала У10,1 У10,2 У10,З
11 Возможность определения протокола обмена У11,1 У11,2 У11,З
12 Возможность выделения и определения идентификационных преамбул У12,1 У12,2 У12,З
13 Наличие логического или физического адреса объекта воздействия У1З,1 У1З,2 У1З,З
Угрозы нарушения доступности
14 Неполное тестирование аппаратуры У14,1 У14,2 У14,З
15 Работа в условиях помех У16,1 У16,2 У16,З
16 Наличие незакрепленных деталей У17,1 У17,2 У17,З
17 Плохое экранирование приемной аппаратуры, побочные полосы У18,1 У18,2 У18,З
18 Наличие отражающих поверхностей, низкое расположение антенн У19,1 У19,2 у19,З
всех уязвимостей конкретной угрозы с учетом потенциального воздействия каждой.
Так как под ущербом мы подразумеваем реализацию угрозы, то оценка ущерба от конкретной угрозы будет определяться совокупностью уязвимостей, которые с ней связаны:
7=1 7=1
(3)
Для оценки коэффициента влияния отдельной уязвимости на величину потенциального ущерба от угрозы с присутствием данной уязвимости воспользуемся следующей формулой [21]:
X = ■
IРЫО
<=\_
п
ш,)
(4)
где T= {t} - множество не взаимосвязанных угроз информационной безопасности с присутствием конкретной уязвимости;
P(t) - вероятность возникновения любой угрозы из множества Т;
P(t.\c1) - вероятность возникновения угрозы с присутствием конкретного уязвимости.
Систематизация уязвимостей и атак на БСС Под атакой будет понимать попытку получить несанкционированный доступ к сервису, ресурсу либо информации. Атакой также может быть попытка скомпрометировать целостность, доступность и конфиденциальность системы.
Существует огромное множество возможных атак на системы [22]. Например, некоторые атаки могут быть направлены на перехват сообщений, их изменение и дальнейшую отправку получателю для реализации более сложных атак, таких как создание зловредных узлов с целью организации ложных шлюзов. Опираясь на исследование [23] можно выделить две группы атак: активные и пассивные.
К пассивным атакам (П) относятся атаки, направленные на прослушивание траффика, аггрегирование и несанкционированный съем информации путем внедрения в коммуникационные протоколы или с помощью мониторинга сетевых пакетов. К активным атакам (А) можно отнести атаки, связанные с внедрением помех в БСС, представление вредоносного узла в качестве легитимного, изменение сетевых потоков и их источников, создание дыр в протоколах безопасности, нарушении производительности БСС и т.д.
Выявленных уязвимостей и наиболее значимые атаки на БСС типового газодобывающего предприятия можно систематизировать следующим образом:
Заключение
В результате проведенной систематизации уязвимостей и атак на БСС типового газодобывающего предприятия, был сформирован следующий перечень задач, решение которых позволит спроектировать и построить защищенную БСС:
1) должна быть обеспечена устойчивость к активным радиопомехам;
2) должно быть настроено автоматическое обнаружение и выявление подмененных узлов сенсорной сети;
3) должны быть созданы резервные маршруты передачи данных;
4) должно быть настроено автоматическое обнаружение и предотвращение попыток реконфигурирования сети, подмены адресной информации, несанкционированной «перепрошивки» устройств;
5) должны быть использованы механизмы идентификации и аутентификации узлов и кадров;
6) должна быть обеспечена устойчивость к искажению и фильтрации кадров данных;
7) должен быть применен механизмы канального шифрования кадров данных и управления ключами.
=1
Таблица 2
Систематизация уязвимостей и атак на БСС
Уровень Вид атаки Эксплуатируемые уязвимости
Физический уровень Создание радиотехнических помех (А) Плохое экранирование приемной аппаратуры, побочные полосы
Работа в условиях помех
Наличие отражающих поверхностей, низкое расположение антенн
Несанкционированный доступ (П) Наличие в каналах незашифрованной и расшифрованной информации
Наличие коррелятов в базе принимаемого (перехваченного) сигнала, компрометация ключей, получение блока нешифрованного сигнала
Наличие аппаратуры на прием
Возможность сбора статистики передачи информации, использование при передаче открытых кодов
Канальный уровень Коллизия(А) Работа в условиях помех
Плохое экранирование приемной аппаратуры, побочные полосы
Исчерпание энергоресурсов (А) Возможность определения протокола обмена
Низкая фильтрация сигналов основного канала
Анализ трафика (П) Возможность сбора статистики передачи информации, использование при передаче открытых кодов
Возможность определения протокола обмена
Сетевой Выборочная переадресация (А) Отсутствие маскировки синхронизации и маркеров доступа
Использование стандартных форматов без дополнительной коррекции
Ошибочная адресация (А) Наличие в передаваемых данных отличительных признаков, работа на одном канале
Отсутствие маскировки синхронизации и маркеров доступа
Плохое экранирование приемной аппаратуры, побочные полосы
Репликация узлов (А) Неполное тестирование аппаратуры
Наличие логического или физического адреса объекта воздействия
Возможность выделения и определения идентификационных преамбул
Спуфинг, имитация соединения (П) Наличие коррелятов в базе принимаемого (перехваченного) сигнала, компрометация ключей, получение блока нешифрованного сигнала
Наличие в передаваемых данных отличительных признаков, работа на одном канале
Транспортный Десинхронизация, рассогласование (А) Неполная реализация протокола
Флудинг, лавинная рассылка (А) Наличие пересечений в сигнальных и логических областях команд и директив
Наличие в передаваемых данных отличительных признаков, работа на одном канале
Прикладной Определение местонахождения узла (А) Наличие логического или физического адреса объекта воздействия
Отказ в обслуживании (А) Наличие пересечений в сигнальных и логических областях команд и директив
Низкая фильтрация сигналов основного канала
Возможность выделения и определения идентификационных преамбул
Переполнение(А) Неполная реализация протокола
Неполное тестирование аппаратуры
Литература
1. Байтимиров А.Д., Шустрова М.Л. Беспроводные технологии в промышленности // Вестник Казанского технологического университета. 2014. — № 14. — С. 473-475.
2. Бушмелев П.Е., Увайсов С.У., Плюснин И.И., Бушмелева К.И. Беспроводная сенсорная сеть обнаружения утечек газа на магистральных газопроводах // Инновационные информационные технологии. Материалы международной научно-практической конференции, 2012. — С. 377-380.
3. Богданов С.П., Басов О.О. Перспективы и проблемы применения беспроводных датчиков с автономным питанием // Доклады ТУСУРа. 2012. — № 2 (26), ч. 1. — C. 231-238.
4. Барабанова Е.А., Мальцев Д.Б., Есауленко В.Н., Руденко М.Ф. Распределенная система контроля технологических объектов нефтегазовой промышленности на базе беспроводной сенсорной сети // Вестник Астраханского государственного технического университета. Серия: Управление, вычислительная техника и информатика. 2017. — № 2. — C. 98-104.
5. Пикалов А.И., Галимов Р.Р. Анализ методов повышения отказоустойчивости беспроводной сети распределенных систем контроля и управления технологическими объектами // Приволжский научный вестник. 2016. — № 6 (58). — C. 23-27.
6.Карцан Р.В., Карцан И.Н. Беспроводной канал передачи информации, и ее защита // Актуальные проблемы авиации и космонавтики. 2015. — Т. 1. № 11. — С. 494-496.
7. Khan W.Z. Oil and Gas monitoring using Wireless Sensor Networks: Requirements, issues and challenges // Radar, Antenna, Microwave, Electronics, and Telecommunications (ICRAMET), 2016 International Conference on. — IEEE, 2016. — PP. 31-35.
8. Масагутов Р. АСУ ТП установки подготовки газа с расширенной функциональностью системы ПАЗ // Современные технологии автоматизации. 2012. — № 2. — С. 20-29.
9. Zhu C. A virtual grid-based real-time data collection algorithm for industrial wireless sensor networks // EURASIP Journal on Wireless Communications and Networking. 2018. — Vol. 2018. — № 1. — P. 134.
10. Taboun M.S., Brennan R.W. An Embedded Multi-Agent Systems Based Industrial Wireless Sensor Network // Sensors. 2017. — Vol. 17. — №. 9. — P. 2112.
11. Taboun M.S., Brennan R.W. An Embedded Agent-Based Intelligent Industrial Wireless Sensor Network // International Conference on Industrial Applications of Holonic and Multi-Agent Systems. — Springer, Cham, 2017. — PP. 227-239.
12. Синещук М.Ю. Особенности обеспечения информационной безопасности АСУ ТП потенциально опасных объектов // Современные технологии обеспечения гражданской обороны и ликвидации последствий чрезвычайных ситуаций. 2015. — № 1 (6). — С. 49-51.
13.Финогеев А.Г., Нефедова И.С., Тхай К.В. Проблемы безопасности беспроводной сенсорной сети в SCADA-системах АСУ ТП // Известия ВолгГТУ. 2014. — № 6 (133). — С. 66-72.
14. Shcherbakov M.V., Brebels A., Shcherbakova N.L., Tyukov A.P., Janovsky T.A., KamaevV.A. A Survey of Forecast Error Measures // World Applied Sciences Journal (WASJ). 2013.—Vol. 24, Spec. Issue 24: Information Technologies in Modern Industry, Education & Society. — PP. 171-176.
15. Агафонов А.В., Синадский Н.И. Структура и принцип работы комплекса тестирования устойчивости телекоммуникационного оборудования к сетевым атакам типа «отказ в обслуживании» // Вестник УрФО. Безопасность в информационной сфере. 2015. — №4(18). — С. 4-11.
16.Финогеев А.Г., Нефедова И.С., Тхай Куанг Винь. Проблемы безопасности беспроводной сенсорной сети в SCADA-системах АСУ ТП // Известия ВолгГТУ. 2014. — № 6 (133). — С. 66-72.
17. Захаров А.А., Римша А.С., Харченко А.М., Зулькарнеев И.Р. Анализ информационной безопасности автоматизированных систем управления техническими процессами газодобывающего предприятия // Вестник УрФО. Безопасность в информационной сфере. 2017. — № 3 (25). — С. 24-33.
18. Cao N. The Comparisons of Different Location-Based Routing Protocols in Wireless Sensor Networks // Computational Science and Engineering (CSE) and Embedded and Ubiquitous Computing (EUC), 2017 IEEE International Conference on. - IEEE, 2017. — Vol. 2. — PP. 324-327.
19. Taylor J.H. Intelligent control and asset management: An event-based control road map // Paper presented at the 2016 2nd International Conference on Event-Based Control, Communication, and Signal Processing. EBCCSP 2016 — Proceedings, doi:10.1109/EBCCSP.2016.7605269
20. Римша А.С. К вопросу об информационной безопасности автоматизированных систем управления технологическими процессами газодобывающего предприятия // Сборник тезисов докладов: Вторая Арктическая совместная науч.-практ. конф., Новый Уренгой, 16-19 мая 2018 / ООО «Газпром добыча Уренгой» и «Газпром добыча Ямбург», 2018. — С. 84-85.
21. Дерендяев Д.А., Гатчин Ю.А., Безруков В.А. Математическая модель оценки коэффициента вли-
яния отдельно взятого фактора на угрозы информационной безопасности // Кибернетика и программирование. 2016. — № 5. — С. 83-88.
22. Chhaya L. Wireless Sensor Network Based Smart Grid Communications: Cyber Attacks, Intrusion Detection System and Topology Control // Electronics. — 2017. — Vol. 6. — № 1. — P. 5.
23. Mohammadi S., Jadidoleslamy H.A comparison of link layer attacks on wireless sensor networks. // International Journal on Applications of Graph Theory in Wireless Ad hoc Networks and Sensor Networks. 2011. — №3(1), PP. 69-84.
References
1. Baitimirov A.D., Shustrova M.L. Wireless Technologies in Industry [Besprovodnye tekhnologii v promyshlennosti] // Vestnik Kazanskogo tekhnologicheskogo universiteta. 2014. — № 14. — PP. 473-475.
2. Bushmelev P., UvaysovS., Plusnin I., Bushmeleva K. Wireless sensor network detection of leaks on the main gas pipelines [Besprovodnaya sensornaya set obnaruzheniyautechek gaza na magistralnykh gazoprovodakh] // Innovative information technologies. Materials of the International Scientific and Practical Conference, 2012. — PP. 377-380.
3. Bogdanov S.P., Basov O.O. Prospects and Problems of Using Wireless Sensors with Autonomous Power Supply [Perspektivy i problemy primeneniia besprovodnykh datchikov s avtonomnym pitaniem] // Doklady TUSURa. 2012. — № 2 (26), ch. 1. — PP. 231-238.
4. Barabanova E.A., Maltsev D.B., Esaulenko V.N., Rudenko M.F. Distributed Control System for Technological Objects of Oil and Gas Industry on the Basis of Wireless Sensor Network [Raspredelennaia sistema kontrolia tekhnologicheskikh obieektov neftegazovoi promyshlennosti na baze besprovodnoi sensornoi seti] // Vestnik Astrakhanskogo gosudarstvennogo tekhnicheskogo universiteta. Seriia: Upravlenie, vychislitelnaia tekhnika i informatika. 2017. — № 2. — PP. 98-104.
5. Pikalov A.I., GalimovR.R. Analysis of Methods for Increasing the Fault Tolerance of a Wireless Network of Distributed Monitoring and Control Systems for Technological Objects [Analiz metodov povysheniia otkazoustoichivosti besprovodnoi seti raspredelennykh sistem kontrolia i upravleniia tekhnologicheskimi obieektami] // Privolzhskii nauchnyi vestnik. 2016. — № 6 (58). — PP. 23-27.
6. Kartsan R.V., Kartsan I.N. Wireless Channel of Information Transmission and its Protection [Besprovodnoi kanal peredachi informatsii, i ee zashchita] // Aktualnye problemy aviatsii i kosmonavtiki. 2015. — Vol. 1. № 11. — PP. 494-496.
7. Khan W.Z. Oil and Gas monitoring using Wireless Sensor Networks: Requirements, issues and challenges // Radar, Antenna, Microwave, Electronics, and Telecommunications (ICRAMET), 2016 International Conference on. — IEEE, 2016. — PP. 31-35.
8. Masagutov R. APCS of the Gas Preparation Unit with Extended Functionality of the PA System [ASU TP ustanovki podgotovki gaza s rasshirennoi funktsionalnostiu sistemy PAZ] // Sovremennye tekhnologii avtomatizatsii. 2012. — № 2. — PP. 20-29.
9. Zhu C. A virtual grid-based real-time data collection algorithm for industrial wireless sensor networks // EURASIP Journal on Wireless Communications and Networking. 2018. — Vol. 2018. — № 1. — P. 134.
10. Taboun M.S., Brennan R.W. An Embedded Multi-Agent Systems Based Industrial Wireless Sensor Network // Sensors. 2017. — Vol. 17. — №. 9. — P. 2112.
11. Taboun M.S., Brennan R.W. An Embedded Agent-Based Intelligent Industrial Wireless Sensor Network // International Conference on Industrial Applications of Holonic and Multi-Agent Systems. — Springer, Cham, 2017. — PP. 227-239.
12. SineshchukM.I. Features of Ensuring Information Security of Automated Process Control Systems of Potentially Dangerous Objects [Osobennosti obespecheniia informatsionnoi bezopasnosti ASU TP potentsialno opasnykh obieektov] // Sovremennye tekhnologii obespecheniia grazhdanskoi oborony i likvidatsii posledstvii chrezvychainykh situatsii. 2015. — № 1 (6). — PP. 49-51.
13. Finogeev A.G., Nefedova I.S., Tkhai K.V. Security Problems of a Wireless Sensor Network in SCADA Systems of Automated Process Control Systems [Problemy bezopasnosti besprovodnoi sensornoi seti v SCADA-sistemakh ASU TP] // Izvestiia VolgGTU. 2014. — №6(133). — PP. 66-72.
14. Shcherbakov M.V., Brebels A., Shcherbakova N.L., Tyukov A.P., Janovsky T.A., KamaevV.A. A Survey of Forecast Error Measures // World Applied Sciences Journal (WASJ). 2013.—Vol. 24, Spec. Issue 24: Information Technologies in Modern Industry, Education & Society. — PP. 171-176.
15. Agafonov A., Sinadsky N. Structure and operation principle of the hardware and software complex intended for testing the immunity of telecommunication equipment against denial of service network attacks [Struktura i printsip raboty kompleksa testirovaniya ustoychivosti telekommunikatsionnogo oborudovaniya ksetevymatakam tipa «otkazv obsluzhivanii»]//Vestnik UrFO. Bezopasnostv informatsionnoi sfere. 2015. — №4(18). — PP. 4-11.
16. Finogeev A.G., Nefedova I.S., Tkhai Kuang Vin. Security Problems of a Wireless Sensor Network in SCADA Systems of Automated Process Control Systems [Problemy bezopasnosti besprovodnoi sensornoi seti v SCADA-sistemakh ASU TP] // Izvestiia VolgGTU. 2014. — №6(133). — PP. 66-72.
17. Zakharov A.A., Rimsha A.S., Kharchenko A.M., Zulkarneev I.R. Analysis of Information Security of Automated Control Systems for Technical Processes of a Gas Producing Enterprise [Analiz informatsionnoi bezopasnosti avtomatizirovannykh sistem upravleniia tekhnicheskimi protsessami gazodobyvaiushchego predpriiatiia] // Vestnik UrFO. Bezopasnost v informatsionnoi sfere. 2017. — № 3 (25). — PP. 24-33.
18. Cao N. The Comparisons of Different Location-Based Routing Protocols in Wireless Sensor Networks // Computational Science and Engineering (CSE) and Embedded and Ubiquitous Computing (EUC), 2017 IEEE International Conference on. - IEEE, 2017. — Vol. 2. — PP. 324-327.
19. Taylor J.H. Intelligent control and asset management: An event-based control road map // Paper presented at the 2016 2nd International Conference on Event-Based Control, Communication, and Signal Processing. EBCCSP 2016 — Proceedings, doi:10.1109/EBCCSP.2016.7605269
20. Rimsha A.S. The problem of information security of automated control systems for technical processes of a gas producing enterprise [K voprosu ob informatsionnoy bezopasnosti avtomatizirovannykh sistem upravleniya tekhnologicheskimi protsessami gazodobyvayushchego predpriyatiya] // Proceedings of the Second Arctic joint scientific-practical conference, 2018. — PP. 84-85.
21. Derendiaev D.A., Gatchin I.A., BezrukovV.A. A Mathematical Model for Estimating the Coefficient of Influence of an Individual Factor on Threats to Information Security [Matematicheskaia model otsenki koeffitsienta vliianiia otdelno vziatogo faktora na ugrozy informatsionnoi bezopasnosti] // Kibernetika i programmirovanie. 2016. — № 5. — PP. 83-88.
22. Chhaya L. Wireless Sensor Network Based Smart Grid Communications: Cyber Attacks, Intrusion Detection System and Topology Control // Electronics. — 2017. — Vol. 6. — № 1. — P. 5.
23. Mohammadi S., Jadidoleslamy H. A comparison of link layer attacks on wireless sensor networks. // International Journal on Applications of Graph Theory in Wireless Ad hoc Networks and Sensor Networks. 2011. — №3(1). — PP. 69-84.
РИМША Андрей Сергеевич, аспирант кафедры информационной безопасности. Тюменский государственный университет. 625003, г. Тюмень. ул. Перекопская 15а. E-mail: RimshaAndrew@gmail.com
Югансон Андрей Николаевич, аспирант кафедры проектирования и безопасности компьютерных систем. Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики. 197101, г. Санкт-Петербург. Кронверкский пр., 49. E-mail: a_yougunson@corp.ifmo.ru
Римша Константин Сергеевич, студент кафедры информационной безопасности. Тюменский государственный университет. 625003, г. Тюмень. ул. Перекопская 15а. E-mail: RimshaKonstantin@ya.ru
RIMSHA Andrew, post-graduate student of the Information Security Department. Tyumen State University. Bld. 15a, Perekopskaya Str., Tyumen, 625003. E-mail: RimshaAndrew@gmail.com
IUGANSON Andrei, post-graduate student of the Department of Computer System Design and Security. ITMO University. Bld. 49, Kronverksky avenue, Saint-Petersburg, 197101. E-mail: a_yougunson@corp.ifmo.ru
RIMSHA Constantin, student of the Information Security Department. Tyumen State University. Bld. 15a, Perekopskaya Str., Tyumen, 625003. E-mail: RimshaKonstantin@ya.ru
Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.