ГЕНЕРАТОР  СЛУЧАЙНЫХ  ПОСЛЕДОВАТЕЛЬНОСТЕЙ  АТАКУЮЩИХ  ДЕЙСТВИЙ  НА  КОМПЬЮТЕРНУЮ  СЕТЬ  НА  ОСНОВЕ  ШАБЛОНОВ  АТАК  CAPEC

Дойникова  Елена  Владимировна

научный  сотрудник  лаборатории  проблем  компьютерной  безопасности  СПИИРАН,  РФ,  г.  Санкт-Петербург

E-mail:  doynikova@comsec.spb.ru

Десницкий  Василий  Алексеевич

канд.  техн.  наук,  старший  научный  сотрудник  лаборатории  проблем  компьютерной  безопасности  СПИИРАН,  РФ,  г.  Санкт-Петербург

E-mail: 

GENERATOR  OF  THE  RANDOM  ATTACK  SEQUENCES  FOR  THE  COMPUTER  NETWORK  ON  THE  BASE  OF  THE  CAPEC  ATTACK  PATTERNS

Elena  Doynikova

researcher  of  the  laboratory  of  computer  security  problems  of  SPIIRAS,  Russia,  St.  Petersburg

Vasily  Desnitsky

candidate  of  Science,  senior  researcher  of  the  laboratory  of  computer  security  problems  of  SPIIRAS,  Russia,  St.  Petersburg

АННОТАЦИЯ

Целью  работы  является  разработка  инструмента  автоматизированной  генерации  случайных  последовательностей  атакующих  действий  и  цепочек  событий  безопасности.  Инструмент  реализует  подход,  основанный  на  открытых  стандартах  представления  шаблонов  атакующих  действий  и  уязвимостей.  Данный  инструмент  разработан  в  рамках  системы  анализа  защищенности  для  проверки  эффективности  ее  работы  путем  имитации  случайных  атак  на  сеть.

ABSTRACT

The  goal  of  the  paper  is  to  develop  a  technique  and  a  software  tool  for  generation  of  random  sequences  of  attack  patterns  and  appropriate  sequences  of  security  events.  The  technique  is  based  on  the  application  of  open  standards  for  representation  of  attack  patterns  and  vulnerabilities.  The  technique  and  the  tool  were  developed  in  scope  of  the  integrated  system  for  network  security  analysis.  The  tool  is  intended  for  testing  effectiveness  of  this  system  by  simulation  of  the  input  data-  random  attacks  against  computer  networks.

Ключевые  слова:  оценивание  защищенности;  графы  атак;  шаблоны  атак;  события  безопасности.

Keywords:  security  evaluation;  attack  graphs;  attack  patterns;  security  events.

Разработанный  в  данной  работе  инструмент  учитывает  подходы  и  методики,  используемые  атакующими  для  компрометации  информационных  систем,  при  помощи  словаря  «Общее  перечисление  и  классификация  шаблонов  атак»  (Common  Attack  Pattern  Enumeration  and  Classification  —  CAPEC),  разработанного  компанией  MITRE  [2].  В  основе  словаря  лежит  унифицированная  схема  описания  и  классификации  атак,  которая  подробно  рассмотрена  в  [1].

Инструмент  позволяет  генерировать  случайные  последовательности  атакующих  действий  с  точки  зрения  атакующего,  пытающегося  выполнить  атаку  на  систему  без  знания  ее  уязвимостей.  Совместное  использование  словаря  CAPEC  и  списка  дефектов  программного  обеспечения  «Общие  уязвимости  и  дефекты»  (Common  Vulnerabilities  and  Exposures  —  CVE)  [3]  позволяет  имитировать  успешные  атаки  в  случае  наличия  в  системе  уязвимостей,  позволяющих  реализовать  выбранный  шаблон  атаки.  Кроме  того,  инструмент  позволяет  генерировать  цепочки  событий  безопасности,  соответствующие  сформированной  последовательности  атаки.

Архитектура  генератора  представлена  на  рис.  1.

Рисунок  1.  Архитектура  генератора  случайных  последовательностей  атаки

В  качестве  входных  данных  используется  следующая  информация:  конфигурация  компьютерной  сети;  информация  о  программном  обеспечении  хостов  сети  и  его  уязвимостях;  модель  атакующего,  включающая  информацию  о  его  положении  в  сети,  знаниях  о  конфигурации  сети  и  уровне  навыков  по  шкале  «Высокий/Средний/Низкий»;  шаблоны  атак  CAPEC.

На  основе  полученных  входных  данных  компонент  случайного  выбора  шаблона  атак  и  компонент  генерации  событий  безопасности  формируют  выходные  данные:  последовательность  атаки  и  соответствующую  последовательность  событий.

Алгоритм  формирования  последовательности  атаки  работает  следующим  образом.  Вначале  случайным  образом  определяется  уровень  навыков  атакующего.  В  дальнейшем  при  выборе  шаблонов  атак,  входящих  в  цепочку  атакующих  действий,  учитываются  только  шаблоны  выбранной  или  меньшей  сложности  на  основе  поля  CAPEC  «необходимые  навыки  или  знания  атакующего»  (Attacker  Skill  or  Knowledge  Required).

Если  атакующий  обладает  информацией  о  топологии  сети,  то  для  него  не  выбираются  шаблоны,  позволяющие  осуществлять  разведывательные  действия.  В  противном  случае,  далее  выбираются  шаблоны  атаки,  для  которых  значение  поля  CAPEC  «цель»  (Purpose)  —  «разведка».  Данный  шаг  выполняется  при  любом  переходе  между  хостами.

На  основе  позиции  атакующего  в  сети  и  конфигурации  сети  определяются  хосты,  доступные  для  атаки.  Далее  выбираются  шаблоны  атаки,  позволяющие  получить  доступ  к  одному  из  доступных  хостов  на  основе  полей  «область  последствий»  (Consequence  Scope)  и  «технический  ущерб»  (Consequence  Technical  Impact),  и  применимые  к  данному  хосту  с  точки  зрения  полей  «среды»  (Environments)  и  «платформы»  (Platforms).  Выбор  делается  на  основе  следующих  значений  полей  «область  последствий»  и  «технический  ущерб»:  «конфиденциальность»  (Confidentiality),  «доступность»  (Availability),  «целостность»  (Integrity),  «получение  привилегий»  (Gain  privileges/assume  identity).  Получению  доступа  соответствует  значение:  «получение  привилегий».  После  получения  доступа  выбираются  шаблоны,  позволяющие  повысить  привилегии  (значение  «получение  привилегий»),  или  нанести  максимальный  ущерб  (значения  «конфиденциальность»,  «доступность»,  «целостность»).

Связи  между  шаблонами  атак  формируются  на  основе  пред  и  постусловий  атаки.  Пред  и  постусловия  определяются  на  основе  уязвимостей  атакуемого  хоста  и  уязвимостей,  соответствующих  текущему  шаблону  атаки  (определяются  на  основе  поля  «связанные  уязвимости»  (Related  Vulnerabilities)).  Если  одна  из  уязвимостей,  связанных  с  шаблоном,  существует  на  атакуемом  хосте,  то  атака  считается  успешной,  а  последствия  успешной  эксплуатации  уязвимости  (ущерб  свойствам  безопасности  и/или  полученные  привилегии)  –  постусловиями  шаблона  атаки.  В  противном  случае  атака  считается  безуспешной  и  выбирается  другой  шаблон  атаки. 

Последовательность  событий  безопасности  формируются  на  основе  поля  CAPEC  «индикаторы  атаки»  (Indicators-Warnings  of  Attack).  В  процессе  исследования  все  возможные  значения  данного  поля  базы  CAPEC  были  разделены  на  следующие  три  группы  индикаторов  (в  зависимости  от  значения  поля  «цель»  (Purpose)):  проникновение,  эксплуатация,  разведка.

В  рамках  системы  анализа  защищенности  [4;  5]  разработанный  генератор  применяется  для  формирования  случайных  последовательностей,  имитирующих  атаки  на  сеть  (см.  рис.  2). 

Инструмент  позволяет  рассмотреть  атаки  различных  типов  атакующих.  Сгенерированная  случайная  последовательность  атаки,  а  также  соответствующая  цепочка  событий  безопасности  передаются  системе  анализа  защищенности  в  качестве  входных  данных.  На  основе  последовательно  получаемых  событий  безопасности  система  анализа  защищенности  прогнозирует  развитие  атаки.  Данный  прогноз  сравнивается  со  сгенерированной  цепочкой.  Эффективность  определяется  в  зависимости  от  отклонения  спрогнозированных  и  реальных  данных  об  атаке.

Работа  выполняется  при  финансовой  поддержке  Комитета  по  науке  и  высшей  школе.

Рисунок  2.  Связь  генератора  случайных  последовательностей  атаки  с  системой  анализа  защищенности

Список  литературы:

1. Barnum  S.  Common  Attack  Pattern  Enumeration  and  Classification  (CAPEC)  Schema:  description,  jan.  2008,  Department  of  Homeland  Security.  —  D.:  Cigital,  2008.  —  27  p.
2. Common  Attack  Pattern  Enumeration  and  Classification  (CAPEC)  [Электронный  ресурс].  —  Режим  доступа:  —  URL:  https://capec.mitre.org  (дата  обращения:  16.10.2015).
3. Common  Vulnerabilities  and  Exposures  (CVE)  [Электронный  ресурс].  —  Режим  доступа:  —  URL:  http://cve.mitre.org/  (дата  обращения:  16.10.2015).
4. Kotenko  I.,  Chechulin  A.  Attack  Modeling  and  Security  Evaluation  in  SIEM  Systems  //  International  Transactions  on  Systems  Science  and  Applications.  —  2012.  —  Vol.  8.  —  P.  129—147.
5. Kotenko  I.,  Doynikova  E.  Security  Assessment  of  Computer  Networks  based  on  Attack  Graphs  and  Security  Events  //  Lecture  Notes  in  Computer  Science.  —  2014.  —  Vol.  8407.  —  P.  462—471.