21.07.2007

ѕ–ќЅЋ≈ћџ —»Ќ“≈«ј » јЌјЋ»«ј √–ј‘ќ¬ ј“ј 

image

¬ статье описываютс€ конкретные системы анализа защищенности компьютерных систем, использующие графы атак. ѕредлагаетс€ обща€ архитектура топологических сканеров безопасности.

ƒ.Ќ.  олегов

“омский государственный университет, г. “омск

E-mail: kden@sibmail.com

¬ статье приводитс€ обзор основных подходов к синтезу и анализу графов атак. ќписываютс€ конкретные системы анализа защищенности компьютерных систем, использующие графы атак. ѕредлагаетс€ обща€ архитектура топологических сканеров безопасности.

 лючевые слова: топологический анализ защищенности, сканеры безопасности, графы атак, modelchecking, экспертные системы, теори€ графов, конечно-автоматные модели,  моделирование атак

¬ведение

»сследовани€, св€занные с построением, анализом и применением графов атак, ведутс€ приблизительно с 1994 года. ¬ отечественной литературе данной тематике удел€етс€ незначительное внимание, несмотр€ на то, что в зарубежных публикаци€х привод€тс€ примеры эффективно работающих систем, в том числе и коммерческих.

Ќеформально, граф атак – это граф, представл€ющий всевозможные последовательности действий нарушител€ дл€ достижени€ угроз (целей). “акие последовательности действий называютс€ трассами (пут€ми) атак.

Ќа рис. 1–3 изображены примеры графов атак. ћожно выделить следующие виды графов атак [1, 2] :

state enumeration graph (рис. 1) – в таких графах вершинам соответствуют тройки (s, d, a), где s – источник атаки, d – цель атаки, a – элементарна€ атака; дуги обозначают переходы из одного состо€ни€ в другое;

condition-orienteddependency graph (рис. 2) – вершинам соответствуют результаты атак, а дугам – элементарные атаки, привод€щие к таким результатам;

exploit dependency graph (рис. 3) – вершины соответствуют результатом атак или элементарным атакам, дуги отображают зависимости между вершинами – услови€, необходимые дл€ выполнени€ атаки и следствие атаки. Ќапример, атака RSH возможна, если нарушитель имеет привилегии суперпользовател€ на хосте 1 и хост 3 довер€ет хосту 1. ¬ результате атаки нарушитель получает привилегии пользовател€ на хосте 3.

                                          

     –ис. 1                                                                                                   –ис. 2

ѕод элементарной атакой (atomic attack) понимают использование нарушителем у€звимости. ѕримером элементарной атаки служит, например, переполнение буфера службы SSH, позвол€ющее удаленно получить права администратора системы.

ѕри синтезе графа атак возникают следующие задачи: формализаци€ пон€ти€ атаки, разработка формального €зыка моделировани€ атак и компьютерной системы (включающей нарушител€, его цели, сеть, средства защиты, отношение достижимости хостов и т.д.), выбор или разработка средств построени€ графа атаки и его визуализации, разработка средств автоматизации построени€ и анализа графа.

¬ основном графы атак рассматриваютс€ в контексте анализа защищенности сетей. ќбычно такой анализ сводитс€ к последовательному сканированию всех хостов сети на наличие известных у€звимостей. –езультатом €вл€етс€ отчет, содержащий перечень найденных у€звимостей и рекомендации по их устранению. ¬ насто€щее врем€ постепенно внедр€етс€ друга€ парадигма анализа защищенности, учитывающа€ “топологию” компьютерной системы – взаимосв€зь объектов компьютерной системы, их свойств и характеристик. “акой анализ защищенности называетс€ топологическим, а средства, его выполн€ющие, топологическими сканерами безопасности.

“опологический анализ защищенности предполагает построение графа атак на основе результатов сканировани€ сети, модели нарушител€ и данных о конфигурации сети (фильтрации ћЁ, маршрутизации, обнаружени€ атак, достижимости хостов и т.д.) и его анализ (веро€тностный,

минимизационный и т.д.).

 ѕостроенный граф содержит все известные сценарии атак дл€ достижени€ нарушителем угроз. –езультатом его анализа может €вл€тьс€:

  • перечень успешных атак, не обнаруживаемых IDS;
  • соотношение реализуемых мер безопасности и уровн€ защищенности сети;
  • перечень наиболее критичных у€звимостей;
  •   перечень мер, позвол€ющих предотвратить использование у€звимостей в ѕќ, дл€ которого отсутствуют обновлени€;
  •  наименьшее множество мер, реализаци€ которых сделает сеть защищенной.

√рафы атак также используютс€ при расследовании компьютерных инцидентов [3], дл€ анализа рисков [4] и   коррел€ций предупреждений систем обнаружени€ атак [5, 6].

ѕервоначально графы атак строили вручную, затем были предложены различные подходы к автоматизации данного процесса.  лючевой проблемой построени€ графа атак €вл€етс€ масштабируемость – возможность построени€ графа атаки дл€ сети с большим числом хостов и у€звимостей. ¬ данной работе излагаютс€ возможные подходы к построению и анализу графов атак и проблемы, возникающие при этом. ќписываютс€ также некоторые системы топологического анализа защищенности.

ќсновные подходы к синтезу графов атак

ѕроверка на модели (model сheсking) – это автоматический метод верификации систем с конечным числом состо€ний. ѕрименение данного метода состоит из следующих этапов: моделирование – формальное описание M исследуемой системы; спецификаци€ – выражение свойства P, которым должна обладать система, в формулах темпоральной логики, позвол€ющей описывать поведение системы во времени; верификаци€ – проверка наличи€ у модели M заданного свойства P. ≈сли модель M обладает свойством P, то возвращаетс€ “истина”; иначе приводитс€ трасса – последовательность состо€ний системы, на которой возникает ошибка и, таким образом, не выполн€етс€ провер€емое свойство P.

ѕусть M – модель сети, свойство Pозначает ”сеть безопасна”. “огда, если при верификации окажетс€, что свойство P ложно, средство верификации выдаст трассу атаки, ведущую к нарушению свойства системы.

¬первые данную технику применили Ramakrishnan и Sekar в 1998 году [7] дл€ анализа защищенности UNIX-хоста. ¬ 2000 году Ritchey и Ammann [8] использовали не модифицированную систему modelchecker SMV дл€ анализа защищенности сети. —имвольный верификатор моделей SMV – это инструментальное средство, предназначенное дл€ проверки того, что модель системы удовлетвор€ет спецификации, заданной CTL. ¬ нем примен€етс€ символьный алгоритм верификации моделей, основанный на OBDD (Ordered Binary Decision Diagrams). ѕри ложности спецификации демонстрируетс€ путь вычислений, служащий контрпримером, и программа завершает работу. ћодель сети задаетс€ вручную на €зыке SMV. Ёти две реализации получают только один путь, где нарушаетс€ спецификаци€ системы. ƒругими словами, вычисл€етс€ только одна из атак, привод€щих к угрозе.

Jha, Sheyner и Wing [9] применили модифицированную систему верификации NuSMV. ћодификаци€ заключаетс€ в выдаче всех путей вычислений, дл€ которых оказываетс€ ложной спецификаци€ безопасности системы (см. рис. 1). ћножество всех таких путей есть граф атак. ¬рем€ работы программы дл€ сети из 4 хостов и 4 у€звимостей составл€ет 5 сек., а дл€ сети из 5 хостов и 8 у€звимостей – более двух часов.

ќсновное достоинство данного подхода – формальность: если анализируема€ система (а точнее, модель системы) признана безопасной, то это означает, что все варианты атак были рассмотрены, и вопросов касательно полноты анализа не возникает. ≈сли же система не обладает данным свойством, то в процессе проверки всегда будет построен контрпример, представл€ющий собой последовательность действий нарушител€ дл€ достижени€ угрозы. Ќедостаток – при большом числе хостов сети число возможных состо€ний становитс€ необозримым, а анализ – невозможным. Ќапример, применение последнего средства к сети, состо€щей из 10 хостов и 5 у€звимостей, позволило получить граф атак, содержащий пор€дка 10 миллионов ребер. ¬ насто€щее врем€ факт неадекватности методов верификации дл€ построени€ графов атак €вл€етс€ общепризнанным.

¬ насто€щее врем€ следующие направлени€ исследований, св€занные с подходом modelchecking, €вл€ютс€ актуальными:

  1. использование логик LTL, CTL* и µ-исчислени€ дл€ задани€ спецификаций системы,
  2. использование различных систем верификаций моделей (например, SPIN и SVC).

»нтерес представл€ет также возможность применени€ подходов автоматического доказательства теорем (например, HOL) дл€ построени€ графов атак.

Ёкспертные системы. ѕодход к построению графов атак с использованием экспертных систем предложен Danforth [1]. ¬ работе использовалась экспертна€ система Java ExpertSystem Shell (JESS). ¬ыбор обосновываетс€ тем, что данна€ система, во-первых, использует реализацию эффективного алгоритма –ете (Rete) дл€ нахождени€ соответстви€ фактов и правил, и, во-вторых, имеет €зык, позвол€ющий достаточно просто добавл€ть описани€ новых элементарных атак. ¬ контексте построени€ графов атак правила соответствуют выполнению элементарных атак, а факты – состо€ни€м сети. ƒл€ описани€ атак используетс€ модель requires/provides [10, 11], так как хорошо подходит дл€ поиска экспертной системой. ¬ ней вс€ка€ элементарна€ атака представл€етс€ множеством условий (предусловий), необходимых дл€ реализации атаки, и множеством следствий (постусловий) – изменений состо€ни€ сети вследствие атаки. Ќапример, предуслови€: на хосте B запущена у€звима€ SSH служба, нарушитель имеет необходимые привилегии на хосте A, 22 порт на хосте B доступен с хоста A; постусловие: нарушитель имеет права администратора на хосте B.

ѕодход заключаетс€ в применении правил к фактам, т.е. ищетс€ предусловие, удовлетвор€ющее состо€нию сети, и состо€ние измен€етс€ в соответствии с постусловием. ƒанный подход €вл€етс€ более эффективным по сравнению с подходами, использующими model checking, и позвол€ет анализировать небольшие сети (пор€дка 1000 хостов) с небольшим числом служб и у€звимостей.

‘ормальные грамматики.  отенко и √ородецкий в [12, 13] предложили подход, основанный на стохастических контекстно-свободных формальных грамматиках, дл€ моделировани€ атак и построени€ графов атак. ¬ их работах описываетс€ онтологи€ сетевых атак – систематизаци€ и классификаци€ всевозможных угроз и атак. ‘ормально, онтологи€ есть дерево, на множестве узлов которого заданы отношени€: “часть”, “вид”, “последовательность” и “пример”. ƒве вершины дерева соединены ребром, если и только если они принадлежат одному из отношений. ¬с€кую угрозу можно представить последовательностью символов. Ёти последовательности рассматриваютс€ как слова €зыка, сгенерированного формальной грамматикой. —оединение двух узлов в дереве (онтологии) определ€етс€ операцией подстановки, где терминальные символы родительского узла рассматриваютс€ как аксиомы формальной грамматики, соответствующей дочернему узлу.

    Ћогический подход. ¬ [14] предложен подход, основанный на логическом программировании, дл€ построени€ графов атак. јвторы модифицировали систему анализа защищенности сетей MulVAL [15], использующую логическое программирование дл€ вычислени€ возможных атак.

Ћогический граф атак состоит из вершин вывода (derivation node) и вершин фактов (facts node). ¬с€кой вершине факта соответствует логическое высказывание в форме предиката p(t1, . . . , tk), истинное или ложное в зависимости от его аргументов. ¬ершине вывода соответствует правило вывода вида: L0 |– L1, . . . , Ln. ƒуги в графе обозначают отношение зависимости. ћодель сети представл€ет собой множество высказываний €зыка Datalog вида:

hacl(internet, webServer, TCP, 80),
vulExists(webServer, ’CAN-2002-0392’, httpd),
networkService(webServer, httpd, TCP, 80, apache)

јтаки моделируютс€ правилами Datalog.

–ассмотрим, например, следующее правило:

execCode(Attacker, Host, User) |–
networkService(Host, Program, Protocol, Port, User),
vulExists(Host, VulID, Program, remoteExploit, privEscalation),
netAccess(Attacker, Host, Protocol, Port)

¬ нем предикаты networkService, vulExists, remoteExploit €вл€ютс€ примитивными, а предикаты ecexCode и netAccess выводимыми. ѕравило определ€ет предуслови€ и постуслови€ дл€ атаки: если сервис Program запущен с правами пользовател€ User на хосте Host, использует порт Port, протокол Protocol и имеет у€звимость с идентификатором VulnID, позвол€ющую повысить привилегии, и нарушитель имеет сетевой доступ к службе, то он может выполнить код на машине Host от имени User.

ƒл€ вычислени€ всех возможных трасс атак используетс€ модифицированна€ система доказательств MulVAL, сохран€юща€ найденные трассы атак. ƒл€ этого в правила вывода MulVAL добавл€етс€ специальна€ функци€, котора€ сохран€ет вывод вс€кого истинного правила. ѕо этим сохраненным данным строитс€ граф атак. ƒоказано, что дл€ построени€ графа атак сети из N хостов необходимо врем€ между O(2) и O(3). ƒанным средством был построен граф атак дл€ сети из 1000 хостов (Pentium 4 CPU, 1 GB RAM).

Graph-based подходы (подходы основанные на теории графов).ƒанные подходы в своей основе используют методы теории графов. ¬ 1999 году Ѕрюс Ўнайер [16] ввел неформальное пон€тие деревьев атак дл€ систематизации и категоризации различных сценариев атак на компьютерные системы. ƒерево атак представл€ет собой методологию описани€ угроз и мер противодействи€ дл€ защиты систем. ƒерево атак определ€етс€ следующим образом: корню дерева соответствует цель нарушител€, потомкам вс€кой вершины (подцел€м) – действи€ нарушител€ дл€ достижени€ цели. ƒействи€ комбинируютс€ с помощью логических » и »Ћ». ¬ершинам и ребрам могут назначатьс€ различные числовые значени€, которые характеризуют веро€тность успеха, сложность, стоимость действий нарушител€. ¬с€кий путь, ведущий от листа к корню – трасса атаки (см. рис. 4).

рис.4

¬ [6] предлагаетс€ формальный способ моделировани€ и обнаружени€ атак. ќпредел€етс€ расширенное дерево атак введением двух атрибутов: времени жизни TTL и степени уверенности PC. ѕервый атрибут отражает временные зависимости между этапами атаки и позвол€ет уменьшить число ложных срабатываний системы обнаружени€ атак (—ќј). ¬торой характеризует веро€тность достижени€ цели при достигнутых подцел€х. «атем, использу€ [18], строитс€ автомат расширенного дерева атаки. ќбнаружение атак заключаетс€ в обходе расширенного дерева атак. ѕараллельный автомат представл€ет собой формальное объединение автоматов и примен€етс€ дл€ обнаружени€ атак. ¬ качестве примера разбираетс€ обнаружение комплексных атак в беспроводных сет€х дл€ стандарта 802.11. ѕрототип —ќј успешно обнаруживает сценарии атак с небольшим числом ложных срабатываний.

¬ [19] даетс€ формальное определение деревьев атак [14] с помощью дизъюнктивных сетей ѕетри. ¬ этой модели места соответствуют атакам, а переходы часто выражают логические зависимости, моделиру€ тем самым действи€ нарушителей, что расшир€ет данную модель по сравнению с деревь€ми атак Ўнайера.

Swiler, Philips в [20, 21] стро€т граф, вершины которого соответствуют состо€ни€м, а дуги – переходам из одних состо€ний в другие. ¬с€кой дуге приписано значение, характеризующее успех атаки или ее длительность. »з графа удал€ютс€ вс€ избыточные пути. ƒалее на графе ищутс€ кратчайшие пути к целевым вершинам алгоритмом ƒейкстры.

Ammann, Wijesekera, Kaushik [10] использовали условие монотонности дл€ анализа графа атак алгоритмом, сложность которого O (6). ”словие монотонности означает, во-первых, невозможность изменени€ числа предусловий элементарной атаки, а во-вторых, определ€ет только однонаправленное изменение. Ќапример, если нарушителю дл€ получени€ доступа с правами администратора на хосте A требуютс€ такие предуслови€, как наличие у€звимости и сетевого доступа, то, получив доступ, нарушитель никогда его не утратит, а количество предусловий никогда не изменитс€. —тоит отметить, что подходы с использованием modelchecking не используют данное приближение.

Jajodia, Noel и O'Berry в [2, 22, 23] исследуют графы аналогичные [10]. –ассматриваетс€ задача предотвращени€ угроз путем изменени€ начальных свойств системы. –ешение состоит из двух частей. —начала трасса атаки представл€етс€ в алгебраической форме, а затем определ€ютс€ начальные услови€, изменение которых может устранить угрозы. ¬ [23] описываетс€ представление трасс атак в виде  Ќ‘ дл€ вычислени€ всевозможных решений устранени€ у€звимостей.

ќсновные проблемы синтеза графов атак

ѕостроение адекватной модели. Ёффективное моделирование подразумевает автоматизацию процесса построени€ модели сети. ѕри этом необходимы данные об имеющихс€ у€звимост€х, политики маршрутизации, внедренной политики безопасности и т.д. ќбычно во всех топологических сканерах безопасности присутствуют подсистемы, взаимодействующие со сканерами безопасности, ћЁ, —ќј, маршрутизаторами и другими средствами дл€ построени€ адекватной модели сети.

 роме этого, необходимо определить достижимость между всеми хостами, учитыва€, например, ћЁ и маршрутизаторы. ¬о многих работах граф строитс€ в предположении наличи€ таких данных. ѕростейший подход вычислени€ доступности требует дополнительных N 2 шагов перед построением графа и заключаетс€ в построении матрицы достижимости A размера N×N, где a[i][j] = 1 тогда и только тогда, когда хост j доступен хосту i. ќпределение достижимости устройств в крупной сети €вл€етс€ трудной задачей. Ќе всегда возможно определить достижимость устройства, использу€ только сканеры безопасности. “очное определение достижимости между хостами требует анализа конфигурационных правил ћЁ, маршрутизаторов, коммутаторов, VPN-шлюзов, персональных ћЁ и других устройств. Ќа рис. 5 приведена архитектура топологического сканера безопасности NetSPA. 

–ис. 5

ѕрименимость алгоритмов дл€ реальных сетей. ћногие алгоритмы построени€ графов не могут быть применены дл€ реальных сетей. “ак, все подходы, основанные на использовании полных графов, €вл€ютс€ не эффективными. Ќапример, полный граф атак часто не мог быть вычислен в [24] даже при наличии 13 у€звимостей в файловой системе UNIX-хоста.

ƒл€ повышени€ эффективности решений может использоватьс€ агрегаци€ [2, 21] подобных хостов как дл€ улучшени€ нагл€дности графа атак, так и дл€ повышени€ производительности. ѕростейша€ агрегаци€ заключаетс€ в замене группы идентичных хостов на один хост. ƒругой метод заключаетс€ в построении ограниченного графа, используемого исключительно дл€ ответа на следующие вопросы: какие хосты могут быть скомпрометированы нарушителем с некоторого хоста и какое минимальное множество эксплойтов позволит нарушителю достигнуть его цели? “акже неизвестным параметрам системы можно присваивать некоторые значени€ по умолчанию [2].

√енераци€ рекомендаций по графу атак. ¬ результате построени€ графа атак и его анализа необходимо выдать рекомендации по предотвращению возможных атак. ƒанные рекомендации могут предполагать как изменени€ в сетевой архитектуре, так и установку обновлений ѕќ. Noel и Jajodia в [2] разработали подходы дл€ выдачи подобных рекомендаций.

—истемы топологического анализа защищенности

ƒалее рассматриваютс€ три наиболее мощные и интересные системы анализа защищенности. ѕриводитс€ их архитектура, иллюстрируютс€ примеры графов атак и, где это возможно, экспериментальные данные.

TVA tool (Topological vulnerability analysis tool) [22]. —истема разработана в университете ƒжорджа ћэйсона. ќписани€ элементарных атак, сети и цели нарушител€ ввод€тс€ вручную в модели предусловий и постусловий. ƒл€ генерации и анализа графа атак используетс€ полиномиальный алгоритм. ƒанна€ система не только генерирует граф, но и предлагает меры по повышению уровн€ безопасности. ƒанное средство имеет много недостатков: модели описываютс€ вручную, при определении достижимости хостов правила ћЁ и ACL маршрутизаторов не анализируютс€ (вместо этого используетс€ сканер Nessus, который определ€ет достижимость двух любых хостов), алгоритм, лежащий в основе TVA, имеет оценку вычислительной сложности O(6). ƒанный алгоритм будет работать в сет€х, где число хостов не превышает сотни. —тоит отметить, что данный подход ограничен монотонными атаками. ƒл€ описани€ атак требуютс€ низкоуровневые детали. ѕодход предполагает, что возможно получить информацию, необходимую дл€ детального моделировани€ низкоуровневых атак, и использовать ее корректно, что обычно невозможно в силу непрактичности и трудности. Ќа рис 6. изображена анализируема€ сеть и соответствующий ей граф атак.

–ис. 6

—истема NetSPA[25-28] разработана в ћассачусетском технологическом институте. »сследовани€ в области анализа защищенности ведутс€ с 1999 года. ѕерва€ верси€ NetSPA строит полные графы атак и способна анализировать небольшие сети (пор€дка 100 хостов). — введением графов предсказаний (predictive graph) производительность системы значительно повысилась – были проанализированы реальные сети из 3400 хостов и моделируемые сети из 10000 хостов. ѕоследн€€ ее редакци€ на сегодн€шний день €вл€етс€ наиболее мощной и способна анализировать моделируемые сети из 50000 хостов за 4 мин. (Windows Server 2003, Xeon 3.2 GHz, 2 GB). јрхитектура системы изображена на рис. 6. NetSPA может импортировать данные из сканера Nessus, ћЁ Sidewinder и Checkpoint, из баз у€звимостей CVE и NVD. —истема строит MP-граф (multiple-prerequisite graph), затем автоматически анализирует его, создает отчет и выдает рекомендации. ƒл€ более эффективного определени€ достижимости хостов используютс€ BDD-графы. ƒл€ выдачи изображени€ графа используетс€ сжатие вершин. Ќа рис. 7 показана анализируема€ сеть и часть соответствующего ей графа атак (реальный граф содержит 8901 вершин и 23315 дуг). ќсновной этап построени€ графа зан€л 24 сек., использовалась рабоча€ станци€ Pentium-M 1,6 GHz, 1Gb, Linux 2,6.

–ис. 7

»нтеллектуальна€ система анализа защищенности (—ј«). –азработана в 2006 в —ѕ»»–јЌ [12, 13]. ¬ данной системе анализа защищенности используютс€ две базовые модели: модель формировани€ общего графа атак и модель оценки уровн€ защищенности. јрхитектура —ј« представлена на рис. 8. √раф атак отражает возможные распределенные сценарии атак с учетом конфигурации сети, реализуемой политики безопасности, а также местоположени€, целей, уровн€ знаний и стратегий нарушител€.

–ис. 8

ћетрики защищенности (CVSS, методики SANS/GIAC, FRAP) позвол€ют оценивать защищенность компьютерной сети и ее компонентов с различной степенью детализации и с учетом разнообразных аспектов.

ѕолученные результаты обеспечивают выработку обоснованных рекомендаций по устранению вы€вленных узких мест и усилению защищенности системы. јнализируема€ сеть и соответствующий граф изображены на рис. 9.

–ис. 9

 

ќбща€ архитектура топологического сканера безопасности

Ќа основе приведенных выше архитектур можно предложить общую архитектуру топологического сканера безопасности. —хематически она представлена на рис. 10.

–ис. 10

ќпишем назначение основных систем.

—истема сбора данных (Data Collector) включает сетевые и хостовые сенсоры и предназначена дл€ сбора данных, необходимых дл€ моделировани€ компьютерной системы. ’остовые сенсоры устанавливаютс€ на ћЁ, маршрутизаторах, серверах, рабочих станци€х и служат дл€ проверок наличи€ у€звимостей, анализа конфигурационных файлов, таблиц маршрутизации и т.п. —етевой сенсор устанавливаетс€ на отдельную систему и осуществл€ет сбор сведений и проверки на наличие у€звимостей по сети, выполн€€ или моделиру€ атаки.

—истема хранени€ данных (Data Storage) состоит из баз данных и предназначена дл€ хранени€ данных, собранных сенсорами, топологии сети, моделей компьютерных систем, графов атак и отчетов.

—истема построени€ графов атак (Graph Builder) предназначена дл€ синтеза графа атак по имеющимс€ данным. —истема анализа (Graph analyzer) служит дл€ проведени€ анализа защищенности путем исследовани€ графа атак и формировани€ отчета. ¬ ходе анализа графа система вычисл€ет всевозможные сценарии нападени€, наиболее значимые угрозы и пути их достижени€, минимизирует и визуализирует граф атаки.

ѕодходы к анализу графов атак

јнализ графа атак €вл€етс€ необходим, так как построенный граф атак ввиду его размера и сложности не всегда может быть информативным дл€ человека; хот€ и существуют методы изображени€ графов, позвол€ющие снизить их визуальную сложность. –езультат анализа определ€етс€ предназначением графа атак. “ак дл€ расследовани€ инцидентов и подсистем коррел€ционного анализа IDS анализ должен позвол€ть предсказывать дальнейшие действи€ нарушител€ и предоставл€ть перечень систем на пути атакующего дл€ расследовани€. ƒл€ IPS анализ должен предсказывать шаги атакующего и выбирать разумные ответные действи€ (response) дл€ блокировани€ атаки нарушител€. », наконец, дл€ топологических сканеров безопасности анализ должен найти всевозможные сценарии нападени€ атакующего и вычислить меры дл€ их устранени€. ƒалее речь пойдет о последнем виде анализа – его цель: определить меры, которые предотврат€т угрозы, и тем самым повыс€т уровень защищенности системы. ¬ [1] мера определ€етс€ как действие, удал€ющее предусловие элементарной атаки. Ётими действи€ми может быть обновление ѕќ, изменени€ правил ћЁ (фильтраци€ порта), размещение сенсора IDS. ¬сем действи€м назначаютс€ стоимости, определ€емые политикой безопасности сети. Ќапример, если в политике за€влено, что web-сервер на машине A €вл€етс€ общедоступным, то мера “firewall port 80 to machine A” должна иметь огромную стоимость, такую что ее применение становитс€ невозможным.

–ассмотрим основные методы и подходы к анализу графов атак. Philips и Swiler в [21] определ€ют кратчайшие пути к цел€м алгоритмом ƒейкстры. “акже вычисл€етс€ множество путей наименьшей стоимости алгоритмом Ќаора-Ѕрутлага. ѕоказываетс€, что задача определени€ множества эффективных мер защиты (в смысле стоимости) €вл€етс€ NP-трудной. ѕредлагаетс€ следующа€ интерактивна€ техника: администратор в соответствии с прин€тыми мерами защиты измен€ет модель сети в конфигурационном файле, а затем выполн€ет пересчет кратчайших путей, чтобы увидеть повысили ли данные изменени€ уровень защищенности сети или нет. Sheyner [29, 30] проводит анализ, целью которого €вл€етс€ нахождение минимального критического множества атак – множество атак наименьшей мощности, удаление которых из арсенала нарушител€ приведет к невозможности достижени€ им цели. ѕоказываетс€, что задача поиска такого множества €вл€етс€ NP-полной, и предлагаетс€ “жадный” эвристический алгоритм ее решени€ сложности O(mn), где m – число состо€ний и ребер, n – число атак.

Jajodia, Noel и O'Berry [22, 23] выполн€ют рекурсивный алгебраический анализ графа атак. ¬с€ка€ цель, элементарна€ атака или предусловие интерпретируютс€ логическими переменными. ¬заимосв€зь между ними характеризуетс€ логическим выражением. ÷ель нарушител€ достигаетс€ при выполнении всех предусловий элементарной атаки, поэтому над логическими переменными, соответствующим предуслови€м выполн€етс€ операци€ конъюнкци€. –азные атаки могут привести к одним и тем же цел€м, поэтому над логическими переменными, соответствующим элементарным атакам, выполн€етс€ операци€ дизъюнкци€. “акие замены производ€тс€ рекурсивно, пока предуслови€ми не окажутс€ начальные услови€. »тоговое выражение затем записываетс€ в ƒЌ‘. “аким образом, итоговое выражение состоит из термов, каждый из которых есть наименование начального услови€, определ€ меры по предотвращению угрозы. Ќиже изображен граф атак дл€ примера сети на рис. 6.


рис. 11

ќтсюда вычисл€ем ƒЌ‘

g = δβ)c4c5c7c8c9 =

αc4c5c6c1c2c4c5c7c8c9= c1c2c4c5(c6 c7c8c9).

“ак как администратор не может контролировать начальные услови€ на машине нарушител€, то ccc= 1 и, следовательно,

c1c4c5(c6  c7).

ѕолучаем следующие возможные решени€:

  1. c1= 0: обновить или отключить IIS на хосте maude;
  2. c= 0: запретить исход€щий rsh с хоста maude;
  3. c= 0: удалить rcp с хоста maude;

4.       c6  c= 0: отключить или обновить сервис wu_ftpd на хосте ned и заблокировать все неиспользуемые порты на хосте maude.

ƒалее администратор в зависимости от политики безопасности сети может назначить стоимость всем четырем мерам и выбрать среди них с наименьшей стоимостью. Ќедостатком €вл€етс€ тот факт, что данный алгоритм позвол€ет устранить только начальные у€звимости не примен€€ других методов защиты.

¬ [1] предложен генетический алгоритм вычислени€ мер максимально повышающих защищенность сети с минимальной стоимостью. ¬озможными методами защиты €вл€ютс€:

  1. обновление ѕќ – применение данного метода влечет удаление из графа атак вершины, соответствующей устраненной у€звимости;
  2. фильтраци€ трафика между двум€ хостами ћЁ – удаление из графа атак ребер, соответствующих данным сетевым соединени€м;
  3. размещение сенсора IDS дл€ обнаружени€ атаки – метка ребер в графе атак.

 аждый метод защиты имеет стоимость, определ€емую политикой безопасности сети или цел€ми анализа сети.

¬ [1] предлагаетс€ генетический метод анализа графов атак. ¬ основе его лежит применение генетического алгоритма дл€ определени€ множества мер наименьшей стоимости максимально повышающих защищенность сети.

  возможным мерам относ€тс€:

  1. обновление ѕќ, что влечет удаление вершины соответствующей устраненной у€звимости в графе атак;
  2. запрет соединени€ на данный порт хоста a с хоста b, что влечет удаление дуги, соответствующей данному соединению;
  3. размещение сенсора IDS дл€ обнаружени€ атак выполн€емых с хоста a на хост b; соответствующие дуги помечаютс€, как “наблюдаемые”.

 ажда€ мера имеет стоимость (cost), определ€емую политикой безопасности сети. ’ромосома есть конкатенаци€ трех булевых векторов, каждый из которых соответствует одной из мер защиты. ƒлина первого булева вектора равна количеству у€звимостей, которые можно устранить обновлением ѕќ; если бит i равен 1, то это означает что i-а€ у€звимость будет устранена обновлением. ¬торой и третий булевы вектора соответствуют дугам в графе атак. Ќаличие единичной компоненты означает соответственно фильтрацию или размещение сенсора IDS (добавление правила дл€ IDS). ‘ункци€ приспособленности (fitness) дл€ хромосомы h определ€етс€ как f  = benefit (h)/cost(h), где cost(h) – сумма стоимостей всех реализованных мер защиты в данной хромосоме, benefit(h) – количество вход€щих дуг в вершину, удал€емых после реализации мер определ€емых хромосомой.

ƒанный метод €вл€етс€ более гибким по сравнению с предыдущими: позвол€ет рассматривать альтернативные меры защиты (фильтраци€ трафика, обнаружение атак) и учитывать политику безопасности сети.

«аключение

¬ работе рассмотрены основные подходы к синтезу и анализу графов атак. ќсновными област€ми применени€ графов атак €вл€ютс€ анализ защищенности компьютерных систем, обнаружение атак и анализ рисков. ¬ насто€щее врем€ имеетс€ множество методов, как теоретической, так и практической направленности, позвол€ющей строить и анализировать графы атак. ќсновными проблемами €вл€ютс€ масштабируемость и адекватность используемых моделей.

Ћитература

  1. DanforthM. Models for Threat Assessment in Networks. – http://www.cs.ucdavis.edu/research/tech- reports/2006/CSE-2006-13.pdf
  2. Jajodia S., Noel S. Managing Attack Graph Complexity Through Visual Hierarchical Aggregation. // In 1st International Workshop on Visualization and Data Mining for Computer Security, Washington, DC, USA. – October 2004. – P. 109 – 118.
  3. Stephenson P. Using formal methods for forensic analysis of intrusion events – a preliminary examination. – http://www.imfgroup.com/Document Library.html.
  4. Amenaza. A Quick Tour of Attack Tree Based Risk Analysis Using. http:// www.amenaza.com.
  5.  Cuppens F. Alert Correlation in a Cooperative Intrusion Detection Framework // Proc. of the 2002 IEEE    Symposium on Security and Privacy. – 2002.
  6. Camtepe S., Yener B. A Formal Method for Attack Modeling and Detection. http:// cs.rpi.edu/research/pdf/06- 01.pdf.
  7.  Ramakrishnan C.R., Sekar R. Model-Based Analysis of Configuration Vulnerabilities. – http://seclab.      cs.sunysb.edu/seclab1/pubs/papers/wids00.pdf
  8. Amman P., Ritchey R. Using Model Checking to Analyze Network Vulnerabilities // Proc. of the 2000 IEEE    Symposium on Security and Privacy. – 2000. – P. 156-165.
  9. Sheyner O., Jha S., Wing J., Lippmann R., Haines J. Automated Generation and Analysis of Attack Graphs // In 2002 IEEE Symposium on Security and Privacy. – Oakland, California, 2002.
  10. Ammann P., Wijesekera D., Kaushik S. Scalable Graph-Based Network Vulnerability Analysis // Proc. of the 9th ACM Conference on Computer and Communications Security, New York: ACM Press. – 2002. – P. 217–224.
  11. Templeton S., Levitt K. A Requires/Provides Model for Computer Attacks // Proc. of the 2000 Workshop on   New Security Paradigms. – New York: ACM Press, 2001.
  12.  отенко ».¬., —тепашкин ћ.¬., Ѕогданов ¬.—. »нтеллектуальна€ система анализа защищенности    компьютерных сетей. – http://www.positif.org/docs/SPIIRAS-NCAI'06-Stepashkin.pdf.
  13. Gorodetski V., Kotenko I. Attacks against Computer Network: Formal Grammar-based Framework and Simulation Tool. Lecture Notes in Computer Science, vol. 2516. – http:// www.springerlink.com/index/P74E2CPBPTT38N7X.pdf
  14.  Ou X., Boyer W.F., McQueen M.A. A Scalable Approach to Attack Graph Generation. – http://www.cis. ksu.edu/~xou/publications/ccs06.pdf.
  15. Ou X., Govindavajhala S., Appel A.W. MulVAL: A logic-based network security analyzer // In 14th USENIX    Security Symposium, Baltimore, MD, USA, August 2005. – http://www.cis.ksu.Edu/~xou/publications/  mulval_sec05.pdf
  16. Schneier B. Attack Trees. – Dr. Dobbs Journal, December 1999.
  17. Moore A., Ellison R., Linger R. Attack Modeling for Information Security and Survivability // Software  Engineering Institute, Technical Note CMU/SEI-2001-TN-01, March 2001.
  18.  Comon H., Dauchet M., et al. Tree automata techniques and applications. http://www.grappa.univ-lille3.fr/tata.
  19.  McDermott J.P. Attack Net Penetration Testing // Proc. of the 2000 Workshop on New Security Paradigms. New York: ACM Press. – 2001. – P. 15–21.
  20.  Swiler L.P., Phillips C., Ellis D., Chakerian S. Computer-Attack Graph Generation Tool. // Proc. of the Second DARPA Information Survivability Conference & Exposition (DISCEX II), Los Alamitos, California, IEEE Computer Society. – 2001. – V. II. – P. 307 – 321.
  21.  Phillips C., Swiler L.. A Graph-Based System for Network-Vulnerability Analysis // In Proceedings of the New   Security Paradigms Workshop, Charlottesville, VA, 1998.
  22.   Jajodia S., Noel S., O'Berry B. Managing Cyber Threats: Issues, Approaches and Challenges, ch. Topological Analysis of Network Attack Vulnerability, Kluwer Academic Publisher, 2003.
  23.   Jajodia S., Noel S., et al. Efficient Minimum-Cost Network Hardening Via Exploit Dependency Graphs. // In Proceedings of the 19th Annual Computer Security Applications Conference, Las Vegas, NV, USA, December 2003.
  24. Ortalo R., Deswarte Y., Kaaniche M. Experimenting with Quantitative Evaluation Tools for Monitoring Operational Security. // IEEE Transactions on Software Engineering. – 1999, – v. 25. – P. 633 – 650.
  25.  Artz M. NETspa, A Network Security Planning Architecture, M.S. Thesis, Cambridge: Massachusetts Institute of Technology, May 2002.
  26. Lippmann R.P., Ingols K.W. An Annotated Review of Past Papers on Attack Graphs. – http://www. ll.mit.edu/IST/pubs/0502_Lippmann.pdf
  27. Lippmann R., Ingols K., Scott C., et al. Evaluating and Strengthening Enterprise Network Security Using Attack Graphs. – http://www.ll.mit.edu/IST/pubs/0507_Lippmann.pdf
  28.  Lippmann R.P., Ingols K.W., Piwowarski K. Practical Attack Graph Generation for Network Defense. –http://www.ll.mit.edu/IST/pubs/70.pdf
  29. Sheyner O. Scenario Graphs and Attack Graphs. // Ph.D. dissertation, Carnegie Mellon University. –     Pittsburgh, PA, USA, April 2004.
  30. Sheyner O., Jha S., Wing J. Two Formal Analyses of Attack Graphs. // IEEE Computer Security Foundations    Workshop, Cape Brenton, Nova Scotia, Canada. – June 2002. – P. 49–63.
или введите им€

CAPTCHA
—траницы: 1  2  
21-07-2007 12:55:42
ј какой практический смысл таких сканеров? ≈сть уже реально работающие продукты в реальных сет€х? ј то фраза "ћногие алгоритмы построени€ графов не могут быть применены дл€ реальных сетей" ставит крест на всем материале.   тому же не совсем пон€тна фраза "ѕостроенный граф содержит все известные сценарии атак", т.к. математически уже давно доказано, что число атак бесконечно! ѕолучаетс€, что сканер тоже будет работать бесконечно?..
0 |
1
22-07-2007 10:46:51
>ѕолучаетс€, что сканер тоже будет работать бесконечно?.. √раф будет бесконечный. ” него будет бесконечное число элементарных атак и дуг. Ёто всеравно что рисовать звездное небо.
0 |
22-07-2007 11:36:44
ј какой практический смысл таких сканеров? ≈сть уже реально работающие продукты в реальных сет€х?ѕрактический смысл приблизительно тот что и у модулей коррел€ционного анализа, а вообще все написано во введении: "ѕостроенный граф содержит все известные сценарии атак дл€ достижени€ нарушителем угроз. –езультатом его анализа может €вл€тьс€: * перечень успешных атак, не обнаруживаемых IDS; * соотношение реализуемых мер безопасности и уровн€ защищенности сети; * перечень наиболее критичных у€звимостей; * перечень мер, позвол€ющих предотвратить использование у€звимостей в ѕќ, дл€ которого отсутствуют обновлени€; * наименьшее множество мер, реализаци€ которых сделает сеть защищенной." –еально работающие продукты в реальных сет€х мне неизвестны. ј то фраза "ћногие алгоритмы построени€ графов не могут быть применены дл€ реальных сетей" ставит крест на всем материалеЁто не вывод, а проблема! √рафы атак, основанные на подходах model checking и полном переборе определенно не могут использоватьс€ в реальных сет€х. јлгоритмы и системы работающие в реальных сет€х имеютс€ (например, NETSpa).   тому же не совсем пон€тна фраза "ѕостроенный граф содержит все известные сценарии атак", т.к. математически уже давно доказано, что число атак бесконечно!ƒействительно, число атак бесконечно. Ќо топологический сканер безопасности не определ€ет новые атаки ( то есть неизвестные), а находит сценарии атак (грубо говор€ - последовательность эксплоитов, которые применит нарушитель) на основе известных у€звимостей. ј так как известных у€звимостей конечное число, то и число сценариев атак конечно. √раф будет бесконечный. ” него будет бесконечное число элементарных атак и дуг. Ёто всеравно что рисовать звездное небо. ¬ соответствии со сказанным выше - не будет
0 |
22-07-2007 22:07:32
–еально работающие продукты в реальных сет€х мне неизвестны ј во введении написано, что есть "эффективно работающие системы, в т.ч. и коммерческие". Ёто не вывод, а проблема! ј решать-то ее как? —мысл предлагать класс средств, не рассказыва€, как их можно использовать в реальной жизни. ј так как известных у€звимостей конечное число, то и число сценариев атак конечно. ƒа? — чего вдруг? ≈сли бы один сценарий атак мог бы использовать только одну у€звимость, то ты был бы прав. Ќо в одном сценарии может использоватьс€ несколько у€звимостей, так как и одна у€звимость может участвовать во множестве сценариев. Ќе говор€ уже о том, что при текущем числе дыр, скорость работы такого алгоритма будет невысока.
0 |
23-07-2007 09:56:02
ј во введении написано, что есть "эффективно работающие системы, в т.ч. и коммерческие".  оммерческих сканеров безопасности, стро€щих графы атак, мне не известно. Ќо есть коммерческие средства анализа рисков основанные на деревь€х атак Ўнайера, например Secur/Tree (http://www.amenaza.com/). ј решать-то ее как? —мысл предлагать класс средств, не рассказыва€, как их можно использовать в реальной жизни. я не предлагаю средства. –ассматриваютс€ именно подходы к построению и анализу. ј в реальной жизни графы атак примен€ютс€ давным-давно, во вс€ком случае за границей (например,при проведении тестов на вторжени€). » сначала тестеры графы атак строили вручную, но так как даже дл€ малых сетей при большом числе у€звимостей граф становитс€ огромным, то и стали придумывать различные способы автоматизации данного процесса. ј у нас об этом только начинают говорить, например http://bugtraq.ru/library/security/audit.html. ƒа? — чего вдруг? ≈сли бы один сценарий атак мог бы использовать только одну у€звимость, то ты был бы прав. Ќо в одном сценарии может использоватьс€ несколько у€звимостей, так как и одна у€звимость может участвовать во множестве сценариев.√раф атак строитс€ на основе у€звимостей. —ценариев атак столько же сколько и путей к целевым вершинам. ≈сли нарушитель не ставит перед собой переходить из одной вершины в другое бесконечное число раз (а € думаю что так и есть),то и путей к целевым вершинам будет конечное число. —ледовательно, число сценариев атак конечно. Ќе говор€ уже о том, что при текущем числе дыр, скорость работы такого алгоритма будет невысока.Ќаучные исследовани€ показывают совсем другое (см. NETSpa)
0 |
1
23-07-2007 21:14:53
—овершенно €сно, что если число у€звимостей конечно, то и число сценариев атак конечно
0 |
1
23-07-2007 21:57:18
¬ лесу конечное количество грибов. » каждый день туда ( в лес) ходит конечное число грибников. » конечное число в лесу деревьев. » тарв и листьев и даже насекомых конечное число. » все в лесу конечное. Ќо обсуждаем мы не это, мы обсуждаем граф. “ак вот граф этот описывает не грибы, а способы их нахождени€. » задача стоит так - нарисовать такой граф, который позволит найти все грибы в том лесу. » вот когда вы такой граф начертите и воспользуетесь результатами своего труда, то соберете ли вы грибов в том лесу больше чем бабулька с соседней деревни? ¬ лесу то давно были? вот будет повод посмотреть на родину летом, и с пользой дл€ дела. —емь€ будет довольна, даже если граф так и останетс€ дл€ вас нерешенной задачей.
0 |
23-07-2007 22:01:52
ѕо поводу конечности.  ак человек, у которого в дипломе написано "математик", соглашусь, что конечность - пон€тие вполне четкое и пон€тное. Ќо так как у мен€ в дипломе есть еще и приставка "инженер", то € привык рассматривать многие вопросы с точки зрени€ практической применимости. „исло атомов во ¬селенной тоже конечно, но кто-нибудь пыталс€ его считать? „исло сценариев атак может быть конечным, но настолько велико, что посчитать это будет нереальным.
0 |
1
23-07-2007 20:54:58
1. ћногое спорно. начнем хот€бы с источников на которые ссылаетс€ автор, и в частности на отсутствие российских публикаций. предлагаю поичкать в интернете трассировку угроз. ƒаже на сайтах Symantec и  асперского это за€влено в качестве реализованных решений. 2. „то есть ребра в графе так и не пон€л. 3. ѕерлы типа "Ёффективное моделирование подразумевает автоматизацию процесса построени€ модели сети." "јнализ графа атак €вл€етс€ необходим, так как построенный граф атак ввиду его размера и сложности не всегда может быть информативным дл€ человека; хот€ и существуют методы изображени€ графов, позвол€ющие снизить их визуальную сложность. –езультат анализа определ€етс€ предназначением графа атак." оставим на совести автора. 4. »ллюстрации если уж заимствуютс€ то неплохо бы указывать источник оных. ѕо рис.7 no comment, что автор хотел им сказать осталось тайной. 5. ѕримеров подтверждающих высказывани€ автора мало. ¬ысказывани€ под сомнением. 6. — выводами не согласен. ≈сли есть практические, коммерческие реализации зачем писать обзорную статью по теории. –ассматривайте конкретные недостатки уже существующих систем, на примерах. 7. Ћитература стара€. ∆ивем во второй половине 2007 года. Ќа отечественные исследовани€ и разработки ссылок мало, а читать все по заграничному времени нет. ≈сли автор не в курсе, то теорию графов на его необъ€тной родине преподают достаточно неплохо, и математики в стране тоже есть. “олько нужно повернуть свой взгл€д на научные журналы и статьи, а попул€рные издани€ оставить тем дл€ кого они предназаначены.
0 |
1
23-07-2007 21:19:01
"Ќа отечественные исследовани€ и разработки ссылок мало, а читать все по заграничному времени нет" ѕоступайте на курсы английского - и при должном усердии вскоре у вас проблем знакомства с передовой литературой не будет
0 |
1
23-07-2007 21:43:59
—пасибо за совет. “олько там было написано "все по заграничному". ”читесь русскому €зыку, и тогда вы поймете разницу в словах и выражени€х. »ностранный €зык не совсем то, что "читать и делать по заграничному". ј один из иностранных €зыков который вы упом€нули - английский, вообще упоминать бы не следовало, так как это уже имеет политический оттенок. ѕередовую литературу цитируйте пожалуйста передовым люд€м, а мы живем там где живем, и не надо понимаете ли "непередовым" такие вот статьи подбрасывать. Ќеуважение свое лишний раз показывать. ≈сли стать€ сто€ща€ то и переводчик дл€ такой статьи найдетс€, а сужать круг людей которые могут оценить проделанную работу, только по причине затруднительного (по времени конечно же) поиска и перевода, лишний раз про€вл€ть свое не уважение. ¬ы быстро сможете найти и оценить текст хот€бы пункта 30? ѕопробуйте и выдайте нам сюда свое резюме, насколько он перекликаетс€ с данной статьей котора€ на него ссылаетс€. ј то, что нет перевода и ссылок на российские источники свидетельствовать может о разном, может не считают российские исследователи эту тему перспективной по объективным причинам (можно же такое предположить, вполне). » как тогда оценивать статью? Ќа счет английского - реверанс, автор мог бы спокойно перевсти свой труд на указанный вами €зык и опубликовать его дл€ публики его понимающеий цен€щей. «ачем спорить с Ћукацким, если можно поспортить с более именитыми и тутулованными заграничными коллегами. ≈сли уже так все продвинуто - нонче.
0 |
1
26-07-2007 16:42:19
ѕрактически вс€ сто€ща€ литература по IT публикуетс€ на английском - поэтому € и поставил знак равенства между "заграничным" и "английским" в данном контексте. —сылку под є30 € нашел за 2 минуты (гугл + название статьи = перва€ ссылка гугла) http://www.cs.cmu.edu/~scenariograph/jha-wing.pdf “о что нет перевода обх€сн€етс€ следующим: на английском выход€т сотни ежемес€чных журналов по IT, на русском - единицы
0 |
08-08-2007 12:07:48
„то вы на человека напали, вс€ку охоту у него писать отобьете - и так в русско€зычном инете сто€щего не найти. «ачем тыкание мордой в стилистику написани€, ну не было редактора у текста.. и что... ћожно подумать контент Securitylab шибко научно направлен...
0 |
1
23-07-2007 21:27:02
"≈сли нарушитель не ставит перед собой переходить из одной вершины в другое бесконечное число раз (а € думаю что так и есть),то и путей к целевым вершинам будет конечное число." Ћукацкий прав. Ќа шахматной доске конечное число фигур, в колоде конечное количество карт. » кто-то тут будет утверждать, что построив некий граф он сможет просчиать весь ход игры? ¬ сад, в €сли - куда угодно, но только не в учебное заведение после вузовского толка. ¬ том то вс€ загвоздка - что при конечном (само по себе не факт) количестве атак, построение системы защиты сложна€ задача. ј при динамически мен€ющемс€ (люб€т употребл€ть термин динамически мен€ющеес€ поле угроз) задачка становитс€ не просто сложной, но и актуальной дл€ решени€. ќбзоры в сторону. ѕусть их профессора пишут, а если есть врем€ и желание то нужны исследовани€ в этой области. » исследовани€ нужны практические. Ќа теории (чужой) тут далеко не уедешь. ј практического материала нет. ¬ статье он не описан. ѕрименимость тоже смонительна, слишком много разных если. "обновление ѕќ Ц применение данного метода влечет удаление из графа атак вершины, соответствующей устраненной у€звимости". ¬ы уж определитеь на конец что у вас вершина, а что ребро. ј то читать невозможно "вершинам соответствуют результаты атак". ≈сть атака, есть еЄ цель и результат. ј есть у€звимость, котора€ может быть устранена. ”странение у€звимости не вли€ет на –≈«”Ћ№“ј“ атаки, куда ладью дел (куда вершину удалил)? Ќа сколько € помню - "дуги отображают зависимости между вершинами Ц услови€, необходимые дл€ выполнени€ атаки и следствие атаки." “о что нет какой либо дуги, не значит, что можно удал€ть вершину!!! ≈сли от вершины вниз удут 50-100 дуг к другим вершинам, то на практике это означает - Ѕ”ƒ≈“ найдена Ќќ¬јя дуга к этой вершине, потом как вершина €вл€етс€ стратегически важной. ј если это невозможно напр€мую, то дуги будут созданы с радом сто€щими вершинами обладающими максимальной силой (дуг). » не рассказывайте сказки про удаление вершин. ѕ–имер вот такой - есть река. ѕерегородил некто камнем еЄ вверх по течению. Ќо перепад высот осталс€. Ћибо вода сметает преграду, либо обходит еЄ. ј если преграда сильна€ (а-л€ плотина), то наступает врем€ (смотри новости) когда воду спускают (дабы ослабить давление на плотину). ¬от тут-то истори€ и начинаетс€. ¬ершину то мы удалили, ничего затопить не должно. “еори€ у нас сильна€, понимаешь ли, а на практике люди под водой, ћ„— летит на помощь и все развод€т руками.... мммм так получилось. Ќе можешь думать, не думай - никто не заставл€ет. Ќо коли вз€лс€, так думай и провер€й, а потом пиши. Ќо не наоборот. ”важать нужно чужое врем€, понаехали тут панимаешь ли ... =) ¬ес в долей иронии конечно же, не принимайте близко к сердцу уважаемый ƒ.Ќ.  олегов. » статьи у вас ещЄ будут хорошие, да и эту статью со временем будут читать по другому, и все у вас будет хорошо. ƒаже замечательно. ј за нас не беспокойтесь, перекувыркаемс€ как нибудь, не в первый раз.
0 |
—траницы: 1  2