Гриняев С.Н. Поле битвы - киберпространство: Теория, приемы, средства, методы и системы ведения информационной войны

Подождите немного. Документ загружается.

Согласно заявлениям ряда экспертпв, выступивших на кон

ференции, как коммерческие, так и правительственные орга

низации требуют, чтобы системы обнаружения вторжения об

наруживали вторжения и обеспечивали отображение данных

об этих событиях, но возможности и акцент внимания для этих

требований различны. Бизнесмены заинтересованы в защите

их сетей и информации только для создания прибыли. Компа

нии активно покупают программы обнаружения вторжения,

поскольку они достаточно ясно осознают угрозу для их бизне

са от современных сетевых технологий, способных привести к

потере данных или программ, составляющих определенную

долю капитализации компаний.

Подчеркивается, что, подобно бизнесменам, федер�ьное

правительство заинтересовано в защите собственных сетеи, од

нако первичное требование для него не в создании прибыли, а

в защите национальной безопасности. Это очень в�ое разли

чие правительственных и коммерческих требовании обнаруже

ния вторжения. Для правительства, преЖде всего, требуется

обеспечить обнаружение вторжений в государственные инфор

мационные сети со стороны спецслужб иностранных государств.

Все эксперты, принявшие участие в симпозиуме в феврале 1999

года согласились с тем, что ресурсы и возможности против

ник�, поержанного иностранным государством, определен

но превысят возможности лучших методов программ обнару

жения вторжения.

Другое важное различие меЖду коммерческими и прави

тельственными требованиями - акценты внимания.

Бизнесмены сосредоточиваются на получении общего опи ·

сания подозрительного действия с тем, чтобы получить возмож

ность его прекратить, для правительственных же организации

важно также и выяснить мотивы, которыми руководствовался

нарушитель. В некоторых ситуациях правительство может изби

рательно перехватывать информацию с целью разведки

или

исполнения постановления суда. Коммерческие программные

продукты ни сегодня, ни в ближайшее время не будут интег

рироваться со специализированными программными комплек

сами перехвата информации (типа Camivore).

Одним из утверЖденных на симпозиуме 1999 года положе

ний было то, что производители коммерческих продуктов не

142

будут

разрабатывать объективные оценки программ обнаруже

ия вторжения. В настоящее время нет никаких стандартов для

ценки программ этого класса. Это может удовлетворить биз

несменов, но правительственные организации, основной за

даче

й которых является обеспечение защиты национальной бе

зопасность, должны знать, что подобная программа делает и

как она работает.

Другая проблема состоит в том, что коммерческие про

граммы обнаружения вторжения могут быть куплены любым.

Это

ведет к тому, что потенциальный нарушитель, узнав, ка

кие

системы используются в государственных организациях,

смог бы купить такой же продукт. И досконально изучив ее

архитектуру, сможет выяснить ее уязвимые места. Этот риск

может Gыть уменьшен, если используется только Программное

обеспечение, специально разработанное для государственных

организаций и не попадающее в продажу.

Сегодня в США разработаны правительственные требова

ния к обнаружению вторжения, которым существующие ком

мерческие программы обнаружения вторжения не удовлетво

ряют. Все это послужило поводом к разработке группы

специализированных продуктов обнаружения вторжений для

государственных организаций.

CID DS

CIDDS (Common Intrusion Detection Director System, так

же известная как CID Director) - специализированная аппа

ратноjпрограммнаяjоперационная среда, разрабатываемая по

программе создания средств обнаружения вторжений (IDT)

Центра информационной войны военно-воздушных сил США

(Air

Force Information Warfare Center, AFIWC). AFIWC - струк

тура, ответственная в ВВС США за разработку средств обнару

жения вторжений для сетей ВВС США. В состав AFlWC входит

Слба компьютерной безопасности Воздушных сил (AFCERT),

кот

орая ответственна за разработку ежедневных операций по

ад

министрированию и обеспечению защиты информационных

сет

ей, включая и программу обнаружения вторжений.

CIDDS получает данные о подключениях и расшифровки

стен

ограммы работы в реальном масштабе времени от маши-

143

ны автоматизированного измерителя инцидентов защиты

(Automated Security Incident Measurement, ASIM) системы дат

чиков, а также и другие инструментальные средства обнару

жения вторжения. Средства обеспечивают возможность анали

за собранных данных как автоматическими средствами, так и

с привлечением экспертов-аналитиков.

Программное обеспечение CID Director состоит из набо

ра откомпилированных С и С ++ программ, откомпилирован

ных программ на Java, сценариев и SQL запросов базы данных

Oracle. Director хранит информацию в локальной базе данных

Oracle и с помощью дружественного графического интерфей

са пользователя позволяет пользователю устанавливать корре

ляцию, изучать и анализировать индикаторы потенциально

опасных действий, злонамеренных или неправомочных собы

тий, встречающихся на сетях Боенно-воздушных сил США.

Методы анализа данных включают:

обнаружение потенциально опасных, злонамеренных или

неправомочных действий, которые происходят длительные пе

риоды времени;

обнаружение тех действий, которые имеют целью опре

деленные машины или типы сетей;

обнаружение тех действий, которые проходят транзитом

или задействуют несколько сетей;

анализ тенденций и глобальных целей.

CIDDS также включает возможность воспроизвести дан

ные подключений в реальном масштабе времени для анализа

последовательностей нажатия клавиш.

CIDDS обеспечивает ASIM систему централизованным хра

нением данных и способностью анализа. Director получает дан

ные от различных датчиков, которые контролируют и сооб

щают состояние всех сетей ВВС. Эти сети могут быть

гомогенными или гетерогенными, обслуживая различные мис

сии ВВС. CIDDS - есть центральная база данных и точка ана

лиза мя всех этих сетевых систем.

Планы будущего развития системы включают установку

ряда систем CID Director на различных уровнях во всех струк

турах ВВС. Все эти системы будут отправлять основную инфор

мацию в единую базу данных в AFCERТ.

144

Каждая машина CID Director является зависимой от сис

те

мы датчиков ASIM, корректирующих точность и своевре

мен

н ость данных.

Программное обеспечение ASIM датчика состоит из от

компилированного кода С и программ на языке Java сценариев

для

оболочки UNIX (Boue) и файлы конфигурации, кото

рые вместе фиксируют, фильтруют и анализируют сеть. ASIM

датчик - по существу утилита перехвата разнородных пакетов

данных и их анализатор. Программное обеспечение ASIM дат

чика ведет мониторинг трафика протокола i р, tcp, udp, icmp.

Далее он анализирует этот трафик, чтобы идентифицировать

подозрительные действия. Есть два режима работы для ASIM

датчика: 1) пакетный режим и 2) режим реального времени. В

типичной ASIM инсталляции системного программнаго обес

печения датчика (для нормальных операций контроля сети)

оба режима включены по умолчанию.

ASIM в реальном масштабе времени использует тот же са

мый программный модуль, что и для пакетного режима, что

бы собрать сетевой трафик. ASIM в реальном масштабе време

ни идентифицирует строки и услуги, которые могли указывать

на попытки неправомочного доступа в момент их происхожде

ния, и немедленно порождает аварийный процесс в сервере

датчика, а также посылает предупреждение в реальном масш

табе времени министратору. Предупреждения в реальном мас

штабе времени обычно содержат основную информацию от

носительно определенного действия. Дополнительная

информация может быть получена из расшифровки стенограм

мы, которая является отчетами нажатия клавиш для обнару

женного предупреждения.

ASIM датчик пакетного режима собирает сетевой трафик

за

некоторый период времени с перестраиваемой продолжи

тельностью, обычно 24 часа. После обобщения данных, они

анализируются программным обеспечением с целью иденти

фицировать индикаторы подозрительного действия. Программ

ное

обеспечение датчика ASIM генерирует расшифровки сте

ногра

ммы собранных данных для идентифицированного

под

ключения, которое могло указывать, что кто-то сделал по

пытку

или выполнил неправомочное действие. Данные могут

145

быть как просмотрены локально, так и переданы в централь

ный офис (AFIWC/ AFCERT) для наблюдения и анализа.

Кажд

ый день данные, собранные датчиками ASIM, шиф

руются на сайтах, сертифицированных AFCERT, и передают

ся в головную систему ASIM (AFIWC/AFCERT) для анализа

специалистом-аналитиком. Аналитик определяет, является ли

идентифицированное действие злонамеренным и неправомоч

ным.

Таким образом, проведенный анализ показывает, что в об

ласти создания систем обнаружения вторжений в настоящее

время характерен переход к созданию систем, основанных на

обнаружении вторжений в сетевые сегменты.

Следует отметить, что для американского рынка характер

на

ситуация, когда программные продукты для коммерческо

го применения сильно отличаются от тех продуктов, которые

рекомендованы для использования в государственных учреж

дениях. Это - общая тенденция в области информационных

технологий для государственных учреждений должны исполь

зоваться только специально созданные безопасные информа

ционные технологии, недоступные на рынке.

Характерным свойством последних является ориентация

не на автоматические алгоритмы распознавания признаков

вторжений, а на эк

пертов-аналитиков, ежедневно оценива

ющих передаваемые данные.

Пер

спективн

е систем

обнаружени

комп

ютер

х атак на основе

моби

х программ

агентов

Одной из наиболее перспектинных технологий противо

действия информационному оружию в компьютерных сетях яв

ляется использование мобильных интеллектуальных программ

агентов.

Начиная с сентября 1997 года в США Национальным ин

ститутом стандартов и технологии (NIST), совместно с рядом

фирм, при финан

овой поержке Агентства национальной

безопасности реализуется проект, призванный оценить перс

пектину использования технологии мобильных программ-аген



тов для обеспечения безопасности компьютерных систем.

146

Целью проекта является исследование приемов и спосо

бов

использования технологии мобильных агентов для улуч

шени

� характеристик программнога обеспечения информаци

оннои

безопасности, а также исследование путей, позволяющих

обезо

пасить саму технологию мобильных агентов.

В последнее время работы по проекту сосредоточены на

разработке технологии управления полномочиями мобильных

агентов

на основе цифровой подписи и цифровых сертифика

то

в, что тесно связано с проводимыми NIST работами по фор

мированию национальной инфраструктуры обеспечения рабо

ты

криптасистем с открытым ключом (PuЬlic Кеу Infrastructure

PKI), а тае на возможности применения технологии мо�

бильных агентов для улучшения характеристик систем обнару

жения вторжения в компьютерные сети.

Системы обнаружения вторжения сегодня уже достаточно

широко распространены в корпоративных информационных си

стемах и компьютерных сетях. Оценки показывают, что рынок

инструментальных средств СО В достиг в 2000 году почти 150

миллионов долларов США. Обнаружение вторжения в компь

ютерные сети и информационные системы компаний уже да

леко не новое направление научных исследований. Сегодня это

уже достаточно хорошо освоенная коммерческая область с ря

дом серьезных конкурентов типа IВМ, Cisco и Network Associates.

Вместе с тем, по признанию ряда экспертов, существую

щие СОВ достаточно часто срабатывают впустую, к тому же не

обнаруживают все известные атаки на информационные ре

сурсы компаний. В этом отношении текущее состояние разра

боток СОВ похоже на недавнее положение дел в области анти

вирусного программнога обеспечения . Ранние версии

антивирусов также излишне беспокоили пользователя всякий

аз, когда он создавал новые файлы или стирал старые. Одна

ко

в последние годы антивирусное программнее обеспечение

было

существенно усовершенствовано. Сегодняшний пользо

вател

ь практически не обращает внимания на то, что на его

ком

пьютере функционирует антивирусное программнее обес

ечение. При этом, как показывает практика, большинство из

их уверены, что антивирус обнаружит все известные (а зача

сту

ю и новые) вирусы. Этим же путем сегодня идут и разра

бот

чики систем обнаружения вторжений.

147

В силу того что обнаружение вторжения стало зрелой тех

нологией и областью промышленных интересов, сегодня прак

тически все ростейшие проблемы в ней успешно решены. В

последнее время в этой области исследований не было найде

но существенных прорывных решений. Вместо этого разработ

чики систем подобного рода совершенствуют главным обра

зом существующие методы обнаружения вторжения.

В этой связи многие эксперты отмечают, что традицион

ные направления исследований в этой области в ближайшее

время будут иметь все меньшее значение. Будущие работы по

совершенствованию приемов обнаружения вторжения, как ожи

дается, сосредоточатся на относительно неисследованных об-

ластях типа:

* механизмы ответа на нападение;

архитектуры сильно распределенных систем обнаруже-

ния вторжения;

* стандарты взаимодействия компонентов системы при об-

наружении вторжения;

новые парадигмы обнаружения вторжения.

ехнол

огия

моб

ных

аген

то

К числу перспектинных направлений исследований в об

ласти создания систем обнаружения вторжений относится и

применение мобильных программ-агентов.

Системы обнаружения вторжения на основе мобильных

агентов - одна из новых парадигм создания систем данного

класса. Мобильные агенты - специфический тип программно

го обеспечения, который имеет возможность перемешаться от

одного компьютера к другому. Программный агент может быть

определен следующим образом : « ... программныи о ъект, ко-

торый функционирует непрерывно и автономно в специфи

ческой среде, способный выполнять действия гибким и ин

теллектуальным способом в ответ на изменения среды;

идеально, если агент, функционирующий непрерывно, был

бы способен учиться на опыте. Кроме того, существуют аген-

JefТrey м. Bradshaw, •An Introduction to Softwю-e Agents,• In Je



rey М. Bradshaw, editor

Software ents, chapter 1. ! Press(The М П Press, 1997.

148

ты, которые взаимодействуют с друтими агентами и процесса

и,

при этом они способны общаться и сотрудничать с ними,

при

необходимости - перемешаться от одного компьютера к

другому>>.

Мобиriьные агенты являются одной из передовых тем ис

сл

едований в области информационных технологий в течение

ряда

лет. Однако результаты этих исследований, главным об

разом

, оставались в пределах лабораторий и не были широко

испо

льзованы. Вместе с тем интенсификация работ по созда

нию

WеЬ-приложений имела ключевое значение для взрывно

го

роста заинтересованности к областИ исследований свойств

мобильных агентов, что связано с возможностью создания на

их

основе распределенных приложений для работы в Интерне

те.

Стала широко применяться процедура запуска на выполне

ние мобильных агентов через WеЬ-браузеры для сбора инфор

мации и взаимодействия с любым узлом в сети (технология

<< НОубОТОВ>> ).

Фирмы IВМ и General Magic являются инициаторами ра

бот в этом направлении интерактивных систем

• Параллельно,

в 1994 году Агентство перспектинных исследований и разрабо

ток Министерства обороны США (ARPA) поержало про

грамму << Распределение знаний>> (Кnowledge Sharing). В резуль

тате ее реализации был разработан язык KQM L2, который до

настоящего времени остается одним из наиболее жизнеспо

собных языков взаимодействия агентов (Agent Communication

Languages, ACLS).

Область исследования мобильных агентов была пересмот

рена в период 1995-1996 годов, когда Sun Microsystems был

разработан язык программирования Java. Хотя Java и являлся

просто одним из новых интерпретируемых языков программи

рования, он специально разрабатывался для организации вза

имодействия сетевых приложений и предоставления техноло

гии

мобильного, платформнонезависимого программнога кода.

Язык Java обеспечил некоторую независимость системы, в язык

arrison, C.G., D.M. Chess, А. Kershenbaum, •МоЬi1е Agents: Аге they а good idea,• IBM

Res

earch Repon, March 1995.

' .

Fщin

, Т., R. Fritzson, .о. МсКау, апd R. McEnlire. «KQML  an Age nt Communication Language•,

rocee

dн>gs of the Th1rd lntematюnal Conference on Information and Knowledge Management

(CIKM '94), АСМ Press, Nov. 1994.

149

бьши

включены конструкции, позволяющие обеспечить

при

емлемый уровень безопасности.

В течение того же периода были представлены многочис-

ленные предложения по использованию мобильных агентов. На



пример, система Lava

, разработанная в Государственном уни

вереитете штата Северная Каролина (США). Разработчики этои

системы сосредоточились на решении проблем защиты инфор

мации поэтому в системе была реализована простая, но �ф

фекти

вная политика защиты для апплето

в Java. M1tre

Coгporation

, также проводившая работы в этои области, раз

работала механизмы аутентификации и определения таксоно

мии событий в области защиты информации с использовани-

ем Java.

Важное наблюдение на основе анализа большинства ра от

в области мобильного кода в ранний период ее ра�вития, сде

ланное многими исследователями, касается полнои открытос

ти подобных систем. Практически все возможные проблемы

защиты в полной мере реализовались в системе с полностью

открытой архитектурой, что привело к возникновению макси

мально возможного числа угроз. На основе этого наблюдения в

то время некоторые исследователи сделали вывод о том, что

использование парадигмы мобильных агентов не является це

лесообразным там, где всегда имелись угрозы �езопасности,

которым невозможно противостоять при полнои открытости

системы.

Частично в силу этих выводов, частично в силу хорошо

разрекламированных напений хакеров на ряд ранних Jаvа

систем нерешенные проблемы обеспечения защиты инфор

мации

препятствовали широкому распространению техноло-

гии мобильных агентов.

Эти соображения особенно чувствительны

 систем об-

наружения вторжения, так что в итоге большинство исследова

телей в этой области сконцентрировались на создании структу

ры, необходимой для обеспечения защиты мобильных агентов

Н J 1

N YA· Secure Delegation of Mobile Applets,• Master's

hesis North

Carolin

ansoty, а 1n ., • •

U ·

1997 <URL

http://shang.csc.ncsu.edu:80/lava.htm >.

State mv.,

1 д

1 ·

Issue

and

d У Swarup •Secuпty fo r о 1 е gen s.

� Farmer,

�

��d

ing

�

��:� l

�

rmation

systems

Security

Conference,

рр

. 59

597

O��:

9{ < U RL: http:i jcsrc.nist.gov jnissc/ 1996/pape/N ISSC96/pape33/> ·

150

Многоагентные системы имеют ряд характеристик, кото

ры

дают им возможность расширить технологию обнаруже

ния

вторжения. Агентная технология и приложения на ее ос

но

ве походят на сообщество самонастраивающихся и

инт

еллектуальных особей. Классы особей имеют специализи

ров

анные цели, и каждый индивидуум может работать незави

симо

от других. Каждый индивидуум общается и обменивается

информацией с другими.

Эта парадигма остро контрастирует с традиционной пара

дигмой

программирования, где главный логический модуль уп

равляет набором подчиненных. Подчиненные модули не име

ют

никакой самостоятельности и исполняют только то, что

диктует главный логический модуль. Разновидности традици

онного подхода включают множественные модули. В этом слу

чае

может не существовать центральный контроллер, а каж

дый модуль может взаимодействовать с другими модулями,

чтобы исполнить задание. Однако если один модуль прекраща

ет функционировать, другие модули недостаточно интеллек

туальны (или не имеют полномочий), чтобы самостоятельно

решить поставленную задачу. Эта традиционная распределен

ная парадигма программирования работает достаточно хоро

шо, когда компоненты отчасти дублируют друг друга по фун

кциональным возможностям. Даже при использовании

избыточных компонентов, противник может отключить срав

нительно малое число резервных копий функциональных бло

ков. Агентная технология - значительный контраст этому под

ходу, так как она пытается дать каждому агенту понимание

среды наряду с его полномочиями, чтобы независимо прини

мать решения.

Мобильные агенты по своей природе автономные, коллек

тивные,

самоорганизующиеся и мобильные. Эти особенности не

отражены в традиционных распределенных программах и дают

возмо

жность СОВ реализовать полностью новые подходы для

обнаружения вторжения, некоторые из которого основаны на

анал

огиях, найденных в природе и в обществе.

Представьте совокупность мобильных агентов как колонию

пчел. Каждая пчела имеет способность лететь к цветам и под

бир

ать пыльцу точно так же, как мобильный агент может дви

ать

ся среди компьютеров и обрабатывать данные. Пчелы не

151

имеют потребности нести большие цветы домой. Точно так же

агент может избегать необходимости передавать данные по факту

обнаружения вторжения в центральный архив.

Другая аналогия может представить совокупность мобиль

ных агентов, выполняющих работу в составе СОВ, как коло

нию муравьев. В случае гибели одного или нескольких сотен

раб

чих колония продолжает функционировать. Кроме того,

муравьи могут переместиться далеко за пределы колонии, ког

да они видят убывание пищи. Многоагентная система может

быть создана с подобным механизмом сопротивления нападе

нию, так как агенты - самонастраивающиеся и мобильные, а

уничтожение нескольких не влияет на функционирование си

стемы в целом.

Многоагентная система также может рассматриваться как

множество охранников. Сотрудники отдела безопасности ком

пании не хотят нести расходы на размещение охранников в

каждой комнате офиса. Вместо этого они делают обход каждой

комнаты, периодически проверяя наличие признаков вторже

ния. Аналогично и многоагентная система дает возможность

периодически проверять компьютеры с целью выявления про

блем защиты без необходимости устанавливать программное

обеспечение провер на каждом компьютере.

Это - только несколько примеров того, как сообщества

самонастраивающихся мобильных агентов могут приносить

пользу технологии обнаружения вторжения. Подвижность -

важный аспект, но одного его недостаточно. Многоагентная

система должна быть способной использовать автономность и

работать во взаимодействии с другими агентами. Эти особен

ности позволяют предложить новые парадигмы обнаружения

вторжения.

Основные nроекты

ласти

систе

об

наружения

торжений

па осно

е о

ъпых агентов

Наиболее интенсивные работы по исследованию свойств

мобильных агентов для создания систем обнаружения вторже



ния на основе мобильных агентов (Moblle Agent lntrusio

Detection Systems, МА1 DS) в компьютерные сети проводятс

152

настоящее время в ряде лабораторий США и я

понии. реди

аи

алее известных организаций - университет штата Айда-

о,

университет штата Нью-Мексика, армейская научно-ис

сле

довательская лаборатория Министерства обороны США r _

суд

арственный университет штата Айова а та Ar ' 0

�

кже

ентство

со

деиствия информационным технологиям в Японии.

С

настр

аива

ие

ся агенты

для

бнения вт

рж

ния

Самонастраивающиеся агенты для обнаружения вторже

ния

(The Autonomous Agents fo r Intrusion Detection (AAFID)

разраб

о�анные в университете г. Пурду, используются в тради�

ционнои системе обнаружения вторжений на основе агентов

главным образом как средство

ля преобразования множества

компонентов обнаружения вторжения в совокупность простых

программных объектов, которые могут быть легко реконфигу

рированы.

AAFID используют иерархию агентов. В корне иерархии _

мониторы, которые обеспечивают глобальный контроль и уп

рав�ение. Они же выполняют анализ информации, поступаю

шеи от узлов более низких уровней. В листьях иерархии _ аген

ты, которые собирают информацию о событиях. Агенты

постоянно находятся во взаимосвязи со специьными базо

выми агентами, именуемыми << приемопередатчиками>>. Приемо

передатчики выполняют роль локал ьных мониторов по конт

рол

ю и управлению агентами, а также для анализа и обработки

:тока информации, полученной от этих агентов, с целью его

кращения

ля передачи агентам-мониторам более высокого

уров

ня. Агенты статические и вводятся в систему путем загруз

ки

с приемопередатчика, однако они могут быть заменены в

проце

ссе реконфигурации.

Hu ттinghird

университете штата Айдахо разработан прое Humm· ь

Это

шg  .

�

- один из наиболее амбициозных проектов распределен-

системы обнаружения вторжения из доступных в настоя

Щее

врем

я.

153

Система HummingЬird - это распределенная система для

сбора и управления данными о нештатном использовании ком

пьютерных систем. Хотя система использует некоторую агент

ную технологию, однако в ней агенты не адаптивные и не мо

бильные. в системе распределен только сбор данных, а контроль

и управление остается централизованным. Акцент сделан на

защищенном распределении данных среди серверов сети, име

ющих различные уровни защиты. Предполагаются также и ин

струментальные средства, алгоритмы, методы сжатия данных

и технология визуализации информации в системах мобиль

ных агентов.

в HummingЬird не реализовано принципиально новых ме

ханизмов для защиты собственной стрrктуры. Вместо этого

проекте используется система Kerberos .

Агенты Ja va для метообучения

в проекте <<Агенты Java Я мето

обученИЯ>> (J)

Колум

бийского университета (штат Нью-Иорк) метод метаобучения

применяется для извлечения распределенных данных посред

ством применения интеллектуальных агентов. Интеллектуаль

ные агенты используют методы искусственного интеллекта для

моделирования знаний и рассуждений, а также поведения в

многоагентных сообществах. Проект имеет два ключевых ком

понента: локальные агенты обнаружения несанкци�нирован

ных действий, которые изучают, как обнаружить деиствия та

кого

рода и обеспечить услуги обнаружения вторжения в

пределах отдельной информационной системы; и защищенная,

интегрированная система метообучения, которая объединяет

коллективные знания, приобретенные индивидуальн

ыми ло

кальными агентами. Извлечение данных, подобно неиронным

сетям и другим приложениям, обучающимся централизован

но, не допускает совместного использования знания агентами

"К ь

А Authentication Service fo r Compute

В.

Cli



ord

Neum

and

Theodo

)

е�З��

�

pte

mber

199

<UR

L http://

i.isi.

Networks, " IEEE Commuшcatюns, , рр. ,

puЫications/kerberos-neuman -tso.html >.

'W. Lee, S.J. Stolfo, and

. Mok, «А Data Mining Framework fo r Buil�ing Intru�i��

D��

Models•, Proceedings of the IEEE Sympostum оп Secuпty and пvасу,

http:/ ;www.cs.columЬia.eduГsal/JAM/P ROJ ЕСТ/>.

!54

дход на основе метаобучения пытается преодолеть это огра

ни

чение, интегрируя множество отдельно обученных класси

фи

каторов, реализованных как отдаленные агенты.

Ин тлектуьные агенты

для обнения вторжения

Этот проект, реализуемый в Государственном университе

те

штата Айова, реализует систему обнаружения вторжений,

основанную на технологии интеллектуальных агентов, подоб

ной

использованной в проекте JАМ. Подвижность агентов по

зволя

ет различным типам интеллектуальных агентов (называе

мых

в проекте <

сборщики данных>>), которые используют

алгоритмы классификатора, передвигаться среди точек сбора

информации и раскрывать подозрительные действия.

Алгоритм агента - стандартные алгоритмы идентификации

последовательностей. Структура иерархическая с информаци

онным хранилищем в корне, уборщиками данных в листьях и

агентами-классификаторами меу ними. Агент-ассифика

тор специализируется на определенной категории вторжения

и способен к сотрудничеству с агентами другой категории,

чтобы решить, насколько серьезен уровень подозрительных

действий. При перемещении вычислительного ал горитма (то

есть агента-классификатора) к каждой точке сбора данных

позволяет избежать дорогостоящего перемещения информации

обобщающему модулю. Результаты работы обеспечивают хо

оший базис для последующих исследований, так как подход

дает

возможность определить агентов обнаружения вторжения

для индивидуальной системы и подсистемы.

Пр огрма исследовапия

ер спективных

текоммуникаций и распредения информации

Работа, выполняемая вооруженными силами США по про

амме перспектинных телекоммуникаций и распределения ин

ор

мации (the Advanced Telecommunications/Information

dis

tribution Research Program, AТIRP), адресована

не обнару

нию

вторжения, а выявлению уязвимых мест в компьютер

системах с использованием мобильных агентов. Однако мо-

155

дули оценки уязвимости могут быть легко заменены модулями

обнаружения вторжения, что позволяет создать простую сис-

тему обнарения вторжения.

Центральный диспетчер запускает агентов к одному или

нескольким целевым узлам, чтобы проверить на известные

уязвимости и сообщить обратно результаты проверки. Агенты

составляются динамически с использованием генетического

алгоритма, который непрерывно пытается максим�зировать

вероятность обнаружения существующих уязвимостеи. Генети

ческий пул, от которого агенты развиваются, состоит из кодо

вьiХ фрагментов, которые соответствуют методике обнар�ения

и разработаны таким образом, что способны взаимодеиство

вать с другими фрагментами. Структура имеет определенные

возможности защиты, основанные на криптогафических сиг-

натурах и электронных сертификатах.

Идентичные или подобные возможности требуются и для

системы обнаружения вторжений. Исходная система должна

была бы быть расширена, чтобы управлять системой обнару

жения вторжений, так как связь между агентами более чув

ствительна в обнаружении вторжения, чем при сканировании

уязвимостей.

ста о

нар

е

ни

я вто

рж

ен

а основе а

ептов

Агентство содействия информационным технологиям

(Information-technology Promotion Agency, IPA) Японии раз

рабатывает систему обнаружения вторжений, названную << СИ

стема обнаружения вторжения на основе агентов>> (lntrusion

Detection Agent system, IDA)

•

Система 1 DA относится к категории многохостовых сис-

тем обнаружения вторжений. Вместо анализа действий

всех

пользователей, lDA наблюдает за определенными событиями

которые могут касаться вторжений и обозначаются в систем

как << метки оставленные подозреваемым злоумышленникоМ>

(Marks Left

Ьу Suspected lntruder, MLSI). Если MLSI найдена

м. ka, s. Okazawa, д.

aguchi, and S. Goto, •А Method of

racing Intrudet$ Ьу Use of

MoЬ

Agenls,• INE

'99, June 1999.

\56

то

J DA собирает

дополнительную информацию связанную с

это

MLSl, анализирует ее и решает: произошло

или нет втор

жение.

Система IDA основывается на использовании мобильных

аген

тов для определения злоумышленников среди множества

серв

еров, вовлеченных в операцию вторжения и сбора инфор

ма

ции. Структура системы иерархическая, с центральным ме

не

джером в корне и множеством различных агентов в листьях.

Датчиком является агент, который постоянно находится в узле

целью поиска MLSIS. О факте обнаружения такой информа

ции

датчик уведомляет менеджера, который посылает агента

инспектора на инспектируемый сервер. Агент-инспектор ини

циализирует с�бирающего информацию агента для сбора

дополнительнои информации, связанной с инспектируемым

сервером, перед персмещением на любой другой узел сети

идентифицированный как подозреваемый. Менеджер собирае;

и интегрирует результаты от собирающего информацию агента.

Возможное дублирование, связанное с тем, что несколько дат

чиков обнаруживают одно и то же событие вторжения в систе

ме, решено через <<доску объявлений>> в каждом провереином

сервере.

Вместе с тем технология обеспечивает ценные дополне

ния к текущим возможностям систем обнаружения вторжений.

Хотя препятствия на пути создания практических систем на

основе мобильных агентов достаточно высоки, способность пе

ре

�ещать программу выполнения от одной аппаратной базо

вои

системы до другой - весьма ценное свойство. В конечном

счете, когда проблемы, связанные с обеспечением защиты,

производительности, безопасной технологий функционирова

ния

и барьеры стандартов, которые подавляют развитие тех

нологии мобильных агентов, будут решены, технологии на

осно

ве агентов ждет широкое применение.

Систем

контрол

и перехв

информ

ции

глоб

инфо

рм

ционн

сетя

настоящее время происходит изменение роли коммуни

ац

ии,

вызванное ростом стоимости нематериьных активов

arn�

е выходом на рынок новьiХ высокотехнологичных ком-

157

паний. Наряду с этим происходит создание все более изощрен

ных технологий воздействия на аудиторию, которые становят

ся все более доступными. Так под влиянием процессов глоба

лизации

Интернет становится важнейшим каналом для влияния

на поведение и восприятие людей.

Как пишет А.А. Мухин в своей книге << Информационная

война в России>>, в последние несколько лет в российском сег

менте сети Интернет появилось множество проектов, содер

жание которых может быть охарактеризовано как << сетевой ком

промат>> . Дело дошло до того, что в 1999 году даже был проведен

круглый стол, основной темой которого было обсуждение пер

спективы превращения Интернета в России в арену для поли-

тических манипуляций.

Наиболее значимым событием в сфере << сетевого компро-

мата>> , по словам А.А. Мухина, стало появление серии сайтов

под общим названием << Коготь>>. Материал сайтов содержал,

главным образом, сведения о ряде известных российских по

литиков, бизнесменов и чиновников, содержал материалы про

елушивания их телефонов, расшифровки пейджерных сообще

ний и др. Как отмечает автор, появление компромата в сети

взбудоражило общество еще и потому, что все материалы были

анонимные, а выяснить авторство не удалось. В случаях с пе

чатными средствами массовой информации и телевидением

источник информации так или иначе выявить удавалось, Ин

тернет же в России оказался на практике идеальной средой

для распространения анонимной информации самого различ-

ного содержания.

В последнее время передача информации через Интернет

стала необходимой и неоемлемой частью организации ком

муникаций как в государственном, так и в частном секторе

современного общества. Коммуникации посредством Интер

нета сегодня уже могут конкурировать с обычным телефоном.

Вместе с тем стало очевидным, что они все чаще эксплуатиру

ются преступниками и террористами, деятельность которых

уг

рожает не только безопасности отдельных граждан, но и наци

ональной безопасности целых государств. В этом случае

контролируемый судебными властями перехват такой инфор

мации техническими средствами может стать мощным инстру

ментом в противостоянии подобным угрозам.

158

Сегодня Интернет -это мировая компьютерная сеть объе

дин

яющая сотни тысяч локальных, государственных �орпо



рат

ивных, общественны� образовательных и иных се;ей. Чис�

ниость пользавателеи Интернета

растет очень быстро

пециалисты утверждают что динамика

развития интернет-

услу

г в мир: предвещает великие перемены в распростране

нии

массовои информации.

Быстрый рост числа пользователей Интернета заставляет

су

ъектов политической жизни всерьез задуматься о них как

части потенциальной аудитории Буквал

ьно за последние не-

сколько лет в Интернете были представлены практически все

ведущие СМИ Кроме

того, в сети представлены правитель�

ства и парламенты большинства стран.

В настоящее время Интернет предоставляет различную ин

ормацию 24 часа в сутки с

пр с на которую ш.пзются удов-

летворить многочисленные проекты, среди которых есть как

интернет-версии традиционных СМИ так и

СМИ

чисто сетевые

, возникшие благодаря возможностям Интернета

�rом

я уже просто невозможно представить себе ни од-

ного крупного информационного агентства или СМИ б

телевизионный канал, газета или радиостанция, не и�е��е;�

своего представительства в Интернете

реимущества Интернет-СМИ обусловлены специфичес-

кими способ�ми, приемами и формой подачи в них информа

ции. С другои стороны, и негативных моментов в распрос а

нении информации через Интернет-СМИ более чем достато:о

В последние годы Интернет становится активным участии�

ком

пр�ктически всех политических скандалов, исполняя роль

добнои информационной площадки для << вброса>> в общество

:омпромата, дезинформации и т.п. При этом заинтересован

ые лица используют в своих целях одно из главнейших свойств

�тернета - е�о глобальность. На сегодняшний день размес-

ь в сети саит, содержащий материал фактически любого

хар

актера, например, в США или в любой другой стране очень

пр

осто: достаточно оплатить регистрацию Доменного имени

ер

�з Интернет по кредитной карточке, << закачатЬ» на удален

;IИ сервер соответствующую информацию - и создатели сайта

новятся фактически недосягаемыми для национальных п а

хранительных органов. Таким образом, заинтересован:ые

159

субъекты

уходят от юридической ответственности, а распрос

т

раняемая ими информация становиться весьма действенны

средством для достижения поставленных, в первую очеред

политических, целей.

Анализ зарубежного опыта использования информацио

н-

ных ресурсов убедительно свидетельствует о возрастающей

роли

Интернет-

СМИ как одного из средств информационно-пси



хологического воздействия сторон друг на друга, а также

на

международное общественное мнение.

Так, в период проведения странами НАТО т.н. миротвор

ческой операции в Боснии и Герцеговине на соответствующих

сайтах постоянно размещалась информация, нацеленная

на

формирование

позитивного образа США и НАТО в урегули

ровании боснийской проблемы. С началом операции << Союзная

сила>> в Интернете было размещено свыше 300 тысяч сообще

ний, так или иначе затрагивающих проблему Косово. По оцен

кам аналитиков, большинство из них были созданы непосред



ственно или при содействии западных специалистов по

компьютерным технологиям и связи с общественностью.

Соответственно, возможности сети также активно исполь

зуются противостоящими сторонами на различных этапах внут

ренних вооруженных конфлиов. Как было отмечено выше,

специфика создания и функционирования Интернет-СМИ де

лает возможным использование ресурсов сети деструктивны

ми силами для проведения негативного информационно-пси-

хологического воздействия.

В середине 90-х годов  правительств ряда государств стало

очевидным, что оставлять без должного внимания ситуацию,

складывающуюся в области распространения информации че

рез Интернет, просто невозможно - невнимание к этому воп

росу угрожает национальной безопасности.

Понимание проблемы и решение каким-либо путем по

влиять на ситуацию привело к формированию и исполнению

спецслужбами ряда стран организационно-технических про



грамм по созданию средств и методов контроля национальных

сегментов глобальной сети Интернет.

Ниже мы рассмотрим ряд таких программ на примере со

здания системы Carnivore в США, системы «временный по-

чтовый ящи> в Японии.

\60

истеа

Caтnivoтe -

средст

ибернетичес



ой раз

еди

Федеральное бюро расследований США разработало инст

рум

ент, названный Carnivore (прямой перевод этого слова _

плотояд

ное растение>>), который призван облегчить перехват

эл ек

тронных

коммуникаций программно-техническими сред

ства

м�. Carшvore - аппаратно-программный комплекс, отно

ся

шиися к классу << снифферов IР-пакетов>>, который может

перс

хватывать и выборочно записывать трафик от определен

ого

абонентского пункта в компьютерной сети, к которой он

подключен.

Пакеты могут выбираться на основании IР-адреса или в

случае

электронной почты, на названии имени пользовател� в

полях ТО и FROM. В отдельных случаях пакеты могут быть выб

раны на основании их содержания. Персхваченные пакеты мо

гут быть зарегистрированы полностью ( полнотекстовый режим)

или регистрация может быть ограничена только адресной час

тью (режим по ключевым словам), включающей IР-адрес и

имя пользователя. ФБР полагает, что Carnivore позволит огра

ничить объем информации, которую оно вынуждено собирать

при проведении следственных мероприятий, за счет гораздо

более точного ее поиска, чем в случае, когда используются

для этих целей коммерческие инструментальные средства или

когда поставщик услуг Интернста проводит мероприятия по

сбору информации по его просьбе. Существует и ряд дрхгих

подобных программ, например Omnivore и Etherpeek.

В официальном заявлении представителей ФБР и Мини

стерства юстиции США говорится, что система Caivore при

звана противостоять терроризму, шпионажу, попыткам при

менекия информационного оружия, распространению

порнографии, разным видам мошенничества и другим уголов

ным

преступлениям с использованием Интернета. Сотрудники

этих

ведомств гарантировали, что инструмент не будет исполь

зоваться с целью преднамеренного или произвольнаго пере

хвата частной информации. Однако многие американцы обес

nокое�ы тем, что электронное поделушиванне может стать

гроз

ои конституционным правам частной жизни и свободы

лова.

6 С. Н. Гриняев

\61