Documente Academic
Documente Profesional
Documente Cultură
2. GRAFURI DE ATAC
O ameninare la adresa sistemului de comunicaii SC este un eveniment produs la
nivelul infrastructurii i care conduce la compromiterea cel puin a unei funcii a sistemului de
comunicaii. Un atac reprezint o mulime de ameninri care conduc la compromiterea
tuturor funciilor SC. [1][2] [7]
Un graf de atac Ga este un graf orientat aciclic care abstractizeaz caracteristicile
ameninrilor posibile la adresa resurselor unui sistem de comunicaii SC i este utilizat pentru
a stabili dac obiectivul unui atac este tangibil. Un graf de atac Ga este definit astfel: Ga = {V,
E}, n care: [1]
Calea de atac reprezint orice cale din graful de atac n care nodul surs corespunde
strii iniiale a SC, iar nodul destinaie corespunde strii compromise.:
P = {(si,si+1) E, i =0,..,r -1 | s0 = stare_SCiniial, sr =stare_SCfinal, r |V| }
Graful de atac este construit pe baza scenariilor de atac posibile pentru sistemul de
comunicaii. Un scenariu de atac este o list de ameninri pentru sistemul de comunicaii
(calea de atac), mpreun cu resursele vizate i cu lista de condiii necesare execuiei
aciunilor respective. [1] [7]
3. METODA DE ANALIZ I EVALUARE A SECURITII
Metoda de analiz i evaluare a securitii sistemelor de comunicaii folosind grafuri de
atac se bazeaz pe scenarii i ci de atac definite n stadiul de proiectare i dezvoltare a
sistemului. Analiza i evaluarea securitii sistemelor de comunicaii se realizeaz n
urmtoarele etape: 1) specificarea componentelor scenariului de atac; 2) generarea grafului
de atac i 3) evaluarea nivelului de securitate pentru sistemul de comunicaii [1] [7]
3.1 Specificarea componentelor scenariului de atac
Componentele scenariului de atac sunt: lista resurselor sistemului de comunicaii i lista
evenimentelor care submineaz securitatea infrastructurii sistemului de comunicaii.[1]
(1)
(2)
b. Lista de evenimente
Incidentele de securitate sunt evenimente produse n sistemul de comunicaii i care
exploateaz vulnerabiliti existente la nivelul resurselor acestuia. Un eveniment Ev produs la
nivelul infrastructurii unui sistem de comunicaii este definit, formal, ca o relaie de mapare a
unui set de condiii pe un set de rezultate (consecine) ale evenimentului: [1] [7]
Ev =(Condiii, Rezultate)
(3)
n care:
Condiii reprezint mulimea condiiilor necesare pentru producerea incidentului de securitate
(vulnerabilitile resurselor sistemului de comunicaii), iar Rezultate reprezint mulimea
rezultatelor evenimentului produs la nivelul unei resurse a SC; orice eveniment produs la
nivelul sistemului de comunicaii are ca rezultat o nou stare a acestuia, prin compromiterea
cel puin a uneia dintre funciile sale. [1]
Mulimea evenimentelor care submineaz securitatea infrastructurii sistemului de
comunicaii este:
Evenimente = {Ev1, Ev2, ..., EvM}
(4)
e( Pi ) = eij
(5)
j =1
im
i =1
i =1
i =1
evenimentele
sistemului de
ca funcie de
(6)
4. ANALIZ DE CAZ
Terminal
client
clasa j care
Firewall 2
Server
Lista resurselor SC este Resurse_SC ={res1, res2, res3, res4, res5, res6, res7} n care:
res1 este Terminal client; res2 este canalul de comunicaie dintre terminalul client i primul
firewall; res3 este Firewall 1; res4 este canalul de comunicaie dintre cele dou blocuri
firewall; res5 este Firewall 2; res6 este canalul de comunicaii dintre al doilea firewall i
server; res7 este serverul distant. Cele 7 resurse ale SC asigur ndeplinirea funciilor SC, care
sunt:
F1: acces la serverul distant;
F2: filtrarea traficului;
F3: transmisia de date pe legturile punct-la-punct din cadrul SC.
Lista evenimentelor care submineaz securitatea infrastructurii sistemului de
comunicaii este Evenimente = {Ev1, Ev2,Ev3,Ev4, Ev5, Ev6, Ev7}
n care evenimentul Evj (j =
) se produce la nivelul resursei resi. Se presupune ca la
nivelul fiecrei resurse a SC se produce un singur eveniment, iar evenimentele sunt
independente.
Pentru construirea grafului de atac n cazul sistemului de comunicaii SC se consider
valabile urmtoarele ipoteze:
1) fiecare eveniment compromite o singur funcie a sistemului de comunicaii SC;
2) compromiterea unei funcii a sistemului de comunicaii nu este reversibil.
Strile sistemului de comunicaii sunt cele din tabelul 1. Fiecare stare a SC este descris
prin 3 variabile de stare, variabile care sunt asociate celor 3 funcii ale sistemului de
.
comunicaii: Si =stare_SC(F1, F2, F3), i =
);
Fj = 0 dac funcia j a SC nu este compromis (j =
Fj = 1 dac funcia j a SC a fost compromis n urma producerii unui eveniment n cadrul SC.
Tabelul 1: Strile sistemului de comunicaii SC
Funcie
F1
F2
F3
Stare
S0
0
0
0
S1
0
0
1
S2
0
1
0
S3
0
1
1
S4
1
0
0
S5
1
0
1
S6
1
1
0
S7
1
1
1
Fiecare tranziie de stare a SC se realizeaz prin modificarea unei singure variabile de
stare a sistemului, modificare cauzat de producerea unui eveniment n cadrul sistemului.
Tranziiile posibile de stare sunt specificate n tabelul 2:
S0
S1
S2
S3
S4
S5
S6
S7
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
Ev2
N/A
N/A
N/A
N/A
N/A
N/A
N/A
Ev3
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
Ev3
Ev2
N/A
N/A
N/A
N/A
N/A
Ev4
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
Ev4
N/A
N/A
Ev2
N/A
N/A
N/A
N/A
N/A
Ev1
N/A
Ev5
N/A
N/A
N/A
N/A
N/A
N/A
Ev7
N/A
Ev5
Ev6
N/A
EV4
EV3
S4
S2
EV5
S1
EV2
EV2
S6
EV2
EV1
EV4
S5
EV3
S3
EV5
EV6
EV7
S7
Niv _ Sec( SC ) = (1 e( Pi ))
i =1
(7)
(8)
e(P2) = e22e24e25
(9)
e(P3)=e32e33e37
(10)
e(P4)=e41e43e46
(11)
e(P5)=e52e54e55
(12)
e(P6)=e64e65e66
(13)
Utiliznd valorile numerice ale factorilor de eficacitate a celor 7 evenimente, valori date
n tabelul 3, se obin urmtoarele valori ale factorilor de eficacitate a cilor de atac:
e(P1) = 0,128; e(P2) = 0,12; e(P3) = 0,128; e(P4) = 0,32; e(P5) = 0,12; e(P6) = 0,24
Valoarea rezultat a indicatorului pentru nivelul de securitate al sistemului de
comunicaii este Niv_Sec(SC) = 0,304.
Se observ c securitatea infrastructurii sistemului de comunicaii SC este afectat n
cea mai mare msur de secvena de evenimente (Ev3, Ev1, Ev6) care formeaz calea P4 n
graful de atac pentru sistemul de comunicaii analizat. Aceast succesiune de evenimente este
critic pentru sistem, dearece are cel mai ridicat factor de eficacitate, comparativ cu factorii de
5. CONCLUZII
Metoda grafului de atac este o metod cantitativ de analiz i evaluare a securitii
infrastructurilor reelelor i sistemelor de comunicaii. Metoda este aplicabil pentru
determinarea vulnerabilitilor acestora, deoarece se bazeaz de relaiile dintre resursele
sistemelor de comunicaii, tipurile de evenimente produse la nivelul acestora i consecinele
poteniale pe care acestea le produc la nivelul sistemelor de comunicaii i al utilizatorilor
finali. [7]
Metoda de analiz i evaluare a securitii folosind grafuri de atac permite determinarea
secvenelor critice de evenimente pentru sistemele de comunicaii, deci a acelor evenimente
care prezint cel mai ridicat potenial de a compromite funciile acestora.
Complexitatea metodei este determinat de complexitatea generrii i analizei grafului
de atac, care este foarte ridicat n cazul sistemelor de comunicaii cu numr mare de resurse,
n care sunt interconectate reele cu topologii diferite. [7]
6. BIBLIOGRAFIE
[1] Zhang Lufeng, Tang Hong: Network Security Evaluation through Attack Graph
Generation, World Academy of Science Engineering and Technology 54 2009
[2] JohnSteven, Gunnar Peterson: Using Attack Graphs to Design Systems, IEEE
Computer Societym IEEE SECURITY & PRIVACY, 2007
[3] Xinming Ou, Wayne Boyer: A Scalable Approach to Attack Graph Generation, ACM
CCS06, 2006
[4] Cynthia Philips, Laura Suiler: A Graph-based System for Network-Vulnerability
Analysis, 2007
[5] Oleg Sheyner, Jeannette Wing: Tools for Generating and Analysing Attack Graphs,
Carnegie Mellon University, 2007
[6] Jeannette Wing: Scenario Graphs Applied to Network Security, Carnegie Mellon
University, 2008
[7] Sorin Soviany: Studiu privind metode moderne de securizare a accesului la sisteme de
comunicaii de band larg, proiect PN 09-08 03 04 INSCC (faza 2, decembrie 2010)