Способ комбинированного контроля состояния процесса функционирования автоматизированных систем

Область техники, к которой относится изобретение

Заявленное изобретение относится к области вычислительной техники и может быть использовано для анализа состояния защищенности и мониторинга безопасности автоматизированных систем (АС), являющихся элементами систем связи и автоматизации.

Уровень техники

а) Описание аналогов

Известен способ мониторинга состояния распределенной АС по патенту США №7430598 «Системы и методы управления оповещением и мониторингом статуса для сетевых систем», класс G06F 15/16, заявл. 30.09.2008. В известном способе осуществляется централизованный сбор, хранение, агрегирование информации в ходе мониторинга состояния распределенной автоматизированной системы и генерация отчетов с учетом динамики состояния системы и возможностью выявлять общие тенденции возникновения неисправностей.

Недостатками данного способа являются:

низкая эффективность контроля АС в условиях осуществления централизованных атак, не приводящих к возникновению неисправностей в функционировании АС, поскольку при генерации отчетов учитывается только сетевая активность компонентов АС;

нагрузка на каналы связи АС в условиях неустойчивого сетевого взаимодействия со средством контроля, поскольку средство контроля не предусматривает наличие динамических структурных элементов АС, обмен информацией с которыми может периодически прерываться;

невозможность выделения приоритетных компонентов АС, нарушение функционирования которых может привести к более значительному ущербу, так как в ходе контроля информация обрабатывается последовательно, без учета источников данной информации;

низкая достоверность результатов контроля в случае изменения конфигурации АС, не приводящего к повышению вероятности нарушения процесса функционирования АС за счет применения компенсирующих мер.

Известен способ контроля состояния защищенности АС по патенту РФ №178282 «Устройство контроля состояния защищенности автоматизированных систем управления военного назначения», класс G06F 21/00, заявл. 19.12.2016. В известном способе строят эталонную модель контролируемой АС, а в процессе функционирования генерируют модель сети через определенные промежутки времени и сравнивают с эталонной моделью, производят мониторинг сети на предмет осуществления подозрительной сетевой активности.

Недостатками данного способа являются:

низкая эффективность контроля АС в условиях осуществления централизованных атак, не приводящих к возникновению неисправностей в функционировании АС в условиях неустойчивого сетевого взаимодействия со средством контроля;

невозможность выделения приоритетных компонентов АС, нарушение функционирования которых может привести к более значительному ущербу;

низкая достоверность результатов контроля в случае изменения конфигурации АС, не приводящего к повышению вероятности нарушения процесса функционирования АС за счет применения компенсирующих мер;

высокая ресурсозатратность процесса сбора и анализа данных, не реализующего агрегирование получаемых данных.

Известен способ мониторинга безопасности АС по патенту РФ №2210112 «Унифицированный способ Чернякова/Петрушина для оценки эффективности больших систем», класс G06F 17/00, заявл. 07.06.2001. Известный способ заключается в том, что предварительно задают множество контролируемых параметров, характеризующих безопасность АС, эталонные значения контролируемых параметров и их коэффициенты важности, а затем выполняют цикл анализа, для чего измеряют значения контролируемых параметров, сравнивают их с эталонными, а по результатам сравнения формируют отчет и по сформированному отчету принимают решение о безопасности АС.

Недостатками данного способа являются:

низкая эффективность контроля АС в условиях неустойчивого сетевого взаимодействия со средством контроля;

низкая достоверность результатов контроля в случае изменения конфигурации АС, не приводящего к повышению вероятности нарушения процесса функционирования АС за счет применения компенсирующих мер;

высокая ресурсозатратность процесса сбора и анализа данных, не реализующего агрегирование получаемых данных.

Известен способ мониторинга безопасности АС по патенту РФ №2355024 «Способ мониторинга безопасности автоматизированной системы», класс G06F 15/00, заявл. 12.02.2007. Известный способ заключается в том, что при задании множества контролируемых параметров, их группировании и задании эталонных значений данных параметров также определяют коэффициенты важности и временные характеристики рассматриваемых групп, такие как минимальное и максимальное значения временных интервалов измерений значений контролируемых параметров, момент времени формирования отчета о безопасности АС. В процессе контроля при несовпадении измеренных значений контролируемых параметров с эталонными временной интервал измерения значений параметров корректируется, и в случае достижения минимального временного интервала или момента формирования отчета процесс мониторинга прерывается.

Недостатками данного способа являются:

низкая эффективность контроля АС в условиях неустойчивого сетевого взаимодействия со средством контроля;

низкая достоверность результатов контроля в случае изменения конфигурации АС, не приводящего к повышению вероятности нарушения процесса функционирования АС за счет применения компенсирующих мер.

б) Описание ближайшего аналога (прототипа)

Наиболее близким по своей технической сущности к заявленному является способ мониторинга безопасности АС по патенту РФ №2646388 «Способ мониторинга безопасности автоматизированных систем», класс G06F 15/00, заявл. 24.04.2017 (опубл. 02.03.2018). Способ-прототип включает следующую последовательность действий. Предварительно задают множество из N≥2 контролируемых параметров, характеризующих безопасность АС, М≥N эталонных значений контролируемых параметров, массив D для хранения признака незавершенности измерения значений контролируемых параметров g-й группы и значения слова состояния программы мониторинга (ССП) в момент прерывания измерения значений контролируемых параметров. Формируют из числа предварительно заданных контролируемых параметров G≥2 групп контролируемых параметров. Каждая g-я группа контролируемых параметров, где g ∈ {1, …, G}, характеризует безопасность g-го структурного элемента и/или функционального процесса АС. Для каждой g-й группы контролируемых параметров задают коэффициенты важности максимальное и минимальное значения временных интервалов измерений значений контролируемых параметров и момент времени формирования отчета о безопасности АС. Выполняют цикл анализа, для чего выбирают g-ю группу контролируемых параметров. Устанавливают значение интервала времени ΔT_g измерения значений контролируемых параметров g-й группы равным максимальному Измеряют значения контролируемых параметров в каждой из G групп. Сравнивают измеренные значения параметров с эталонными, и в случае их несовпадения значения запоминают и переходят к проверке доступности g-го структурного элемента АС для измерения значений контролируемых параметров. При недоступности g-го структурного элемента АС устанавливают признак незавершенности измерения значений контролируемых параметров g-й группы в массиве D. Запоминают в массиве D значение ССП в момент прерывания измерения значений контролируемых параметров. Корректируют значение временного интервала измерений по формуле Сравнивают откорректированное значение с минимальным Припереходят к сравнению времени T_g измерения значений контролируемых параметров с заданным моментом времени формирования отчета. При проверяют наличие признака незавершенности измерения значений контролируемых параметров g-й группы в массиве D. В случае отсутствия признака незавершенности измерения значений контролируемых параметров g-й группы в массиве D переходят к измерению значений контролируемых параметров в каждой из G групп. При наличии в массиве D признака незавершенности измерения значений контролируемых параметров g-й группы удаляют его из массива D. Считывают запомненное значение ССП из массива D. Измеряют значения контролируемых параметров с момента прерывания их измерения. Переходят к сравнению измеренных значений контролируемых параметров с эталонными. При формируют отчет и по сформированному отчету принимают решение о безопасности АС, а при формируют сигнал тревоги о выходе контролируемых параметров в g-й группе за пределы допустимых значений. Блокируют работу элементов АС, параметры которых вышли за пределы допустимых значений. В отчет о состоянии АС включают сведения о заблокированных элементах АС. При доступности g-го структурного элемента АС переходят к корректировке значения временного интервала измерений по формуле При совпадении измеренных значений контролируемых параметров с эталонными переходят к сравнению времени T_g измерения значений контролируемых параметров с заданным моментом времени формирования отчета.

По сравнению с аналогами, способ-прототип в процессе контроля состояния процесса функционирования за счет сбора и анализа значений контролируемых параметров учитывает возможность нарушения безопасности АС, не подразумевающих нарушение сетевой активности АС, позволяет выделить приоритетные структурные элементы АС, учитывает наличие в составе АС нестационарных (динамических) объектов контроля, которые характеризуются относительно коротким интервалом времени функционирования, а также возможность неустойчивого сетевого взаимодействия объектов контроля со средством контроля, а также позволяет минимизировать используемые в целях контроля ресурсы АС за счет группировки контролируемых параметров, характеризующих соответствующие функции АС, и адаптивного управлением характеристиками процесса контроля состояния процесса функционирования АС.

Недостатком способа-прототипа является низкая достоверность результатов контроля состояния процесса функционирования АС, обусловленная тем, что существует вероятность формирования ложноположительного сигнала о выходе измеряемых значений контролируемых параметров, характеризующих состояние процесса функционирования структурных элементов АС, за пределы их допустимых значений и блокирования работы соответствующих структурных элементов АС, в то время как изменение состояния процесса функционирования структурных элементов предотвращено компенсирующими мерами, не предусматривающими корректировку значений соответствующих контролируемых параметров.

Раскрытие изобретения (его сущность)

а) технический результат, на достижение которого направлено изобретение

Целью заявленного технического решения является разработка способа комбинированного контроля состояния процесса функционирования АС, обеспечивающего повышение достоверности результатов контроля состояния функционирования АС за счет реализации в известном способе активного метода контроля и обеспечения его взаимодействия с реализованным в способе-прототипе пассивным методом в процессе контроля состояния процесса функционирования АС.

б) совокупность существенных признаков

Способ комбинированного контроля состояния процесса функционирования автоматизированной системы заключается в том, что предварительно задают множество из N≥2 контролируемых параметров, характеризующих безопасность автоматизированной системы, М≥N эталонных значений контролируемых параметров, формируют из числа предварительно заданных контролируемых параметров G≥2 групп контролируемых параметров, причем каждая g-я группа контролируемых параметров, где g ∈ {1, 2, …, G}, характеризует безопасность g-го структурного элемента АС, для каждой g-й группы контролируемых параметров задают коэффициенты важности максимальное и минимальное значения временных интервалов измерений значений контролируемых параметров, момент времени формирования отчета о безопасности автоматизированной системы и массив D для хранения признака незавершенности измерения значений контролируемых параметров g-й группы и значения слова состояния программы контроля в момент прерывания измерения значений контролируемых параметров, а затем выбирают g группу контролируемых параметров, устанавливают значение интервала времени ΔT_g измерения значений контролируемых параметров g-й группы равным максимальному измеряют значения контролируемых параметров в каждой из G групп, сравнивают измеренные значения контролируемых параметров с эталонными в случае несовпадения запоминают их, проверяют доступность g-го структурного элемента автоматизированной системы для измерения значений контролируемых параметров в случае его недоступности устанавливают признак незавершенности измерения значений контролируемых параметров g-й группы в массиве D, запоминают в массиве D значение слова состояния программы контроля в момент прерывания измерения значений контролируемых параметров, корректируют значение временного интервала измерений значений контролируемых параметров по формуле сравнивают откорректированное значение с минимальным , в случае сравнивают время T_g измерения значений контролируемых параметров с заданным моментом времени формирования отчета и при проверяют наличие признака незавершенности измерения значений контролируемых параметров g-й группы в массиве D, в случае его отсутствия переходят к измерению значений контролируемых параметров в каждой из G групп, а при наличии в массиве D признака незавершенности измерения значений контролируемых параметров g-й группы удаляют его из массива D, считывают запомненное значение слова состояния программы контроля из массива D, измеряют значения контролируемых параметров с момента прерывания их измерения и переходят к сравнению измеренных значений контролируемых параметров с эталонными, в случае формируют отчет и по сформированному отчету принимают решение о состоянии процесса функционирования автоматизированной системы, а при формируют сигнал тревоги о выходе контролируемых параметров в g-й группе за пределы допустимых значений, блокируют работу элементов автоматизированной системы, параметры которых вышли за пределы допустимых значений, включают в отчет о состоянии процесса функционирования автоматизированной системы сведения о ее заблокированных элементах, в случае доступности g-го структурного элемента автоматизированной системы для измерения значений контролируемых параметров переходят к корректировке значения временного интервала измерений значений контролируемых параметров по формуле а при совпадении измеренных значений контролируемых параметров с эталонными переходят к сравнению время измерения значений контролируемых параметров с заданным моментом времени формирования отчета.

Дополнительно задают массив Е_ехр, представляющий собой множество Е_ехр={e₁, е₂, …, e_n} эксплойтов, причем r-й эксплойт e_r ∈ Е_ехр, где r ∈ {1, 2, …, n}, представляет собой компьютерную программу, фрагмент программного кода и/или последовательность команд, применяемые для проведения компьютерной атаки на автоматизированную систему, массив W для хранения множества упорядоченных наборов W={Е₁, Е₂, …, Е_р} эксплойтов, причем i-й упорядоченный набор E_i ∈ W эксплойтов, где i ∈ {1, 2, …, р}, представляет собой набор эксплойтов, причем направленность j-го эксплойта где j ∈ {1, 2, …, m}, на g-й структурный элемент соответствует значению контролируемого параметра, не совпавшего с эталонным, массив S для хранения контрольной информации о ходе выполнения задач контроля состояния процесса функционирования автоматизированной системы, включающей исходное s₀ и фактическое s₁ состояния процесса функционирования g-го структурного элемента автоматизированной системы, а после сравнения времени T_g измерения значений контролируемых параметров с заданным моментом времени формирования отчета и при проверяют наличие признаков выполнения эксплойта, в случае их отсутствия проверяют наличие результата выполнения эксплойта и при его отсутствии проверяют сформированность набора E_i эксплойтов, а в случае его отсутствия переходят к проверке наличия признака незавершенности измерения значений контролируемых параметров g-й группы в массиве D, в случае сформированности набора E_i эксплойтов считывают эксплойт из массива W, запускают эксплойт и переходят к проверке наличия признака незавершенности измерения значений контролируемых параметров g-й группы в массиве D, а при наличии результата выполнения эксплойта проверяют достижение цели его выполнения, в случае не достижения цели выполнения эксплойта сравнивают значение индекса эксплойта со значением индекса эксплойта, принадлежащих i-му упорядоченному набору E_i эксплойтов и при j<m увеличивают значение индекса j на 1, переходят к считыванию эксплойта из массива W, а при j≥m удаляют i-й упорядоченный набор E_i эксплойтов из массива W, сравнивают значение индекса i-го упорядоченного набора E_i эксплойтов с значением индекса р-го упорядоченного набора Е_р эксплойтов, входящих в массив W, в случае i<р увеличивают значение индекса i на 1, переходят к считыванию эксплойта из массива W, а при i≥р переходят к проверке наличия признака незавершенности измерения значений контролируемых параметров g-й группы в массиве D, а в случае достижения цели очищают массив W и переходят к формированию сигнала тревоги о выходе контролируемых параметров в g-й группе за пределы допустимых значений, а после блокирования работы элементов автоматизированной системы, параметры которых вышли за пределы допустимых значений, переходят к формированию отчета, а при наличии признаков выполнения эксплойта проверяют наличие признаков направленности эксплойта на нарушение доступности g-го структурного элемента автоматизированной системы, в случае отсутствия признаков направленности переходят к проверке наличия признака незавершенности измерения значений контролируемых параметров g-й группы в массиве D, а при наличии признаков направленности эксплойта на нарушение доступности g-го структурного элемента автоматизированной системы определяют фактическое s₁ состояние процесса функционирования g-го структурного элемента автоматизированной системы, считывают исходное s₀ состояния процесса функционирования g-го структурного элемента автоматизированной системы из массива S, сравнивают фактическое s₁ состояние процесса функционирования g-го структурного элемента автоматизированной системы с исходным s₀ в случае s₁≠s₀ присваивают значению исходного s₀ состояния значение фактического s₁ состояния процесса функционирования g-го структурного элемента автоматизированной системы), запоминают исходное s₀ состояние процесса функционирования g-го структурного элемента автоматизированной системы в массиве S и переходят к проверке наличия признака незавершенности измерения значений контролируемых параметров g-й группы в массиве D, а при s₁=s₀ останавливают выполнение эксплойта, очищают массив S и переходят к проверке достижения цели выполнения эксплойта, а после проверки доступности g-го структурного элемента автоматизированной системы для измерения значений контролируемых параметров и в случае его доступности считывают множество {e₁, e₂, …, e_n} эксплойтов из массива Е_ехр, формируют i-й набор E_i эксплойтов, запоминают i-й набор E_i эксплойтов в массиве W, конфигурируют массив W и переходят к корректировке значения временного интервала измерений значений контролируемых параметров по формуле

Сопоставительный анализ заявляемого решения с прототипом показывает, что предлагаемый способ отличается от известного:

- использованием специализированных средств, реализующих активный метод контроля состояния процесса функционирования АС (далее - специализированных средств контроля) для эксплуатации уязвимостей, определенных по результатам пассивного контроля;

- использованием базы данных эксплойтов, предоставляемой специализированными средствами контроля;

- наличием механизма дополнительной проверки состояния процесса функционирования АС при несовпадении измеренных значений контролируемых параметров с эталонными путем формирования наборов эксплойтов, направленность которых на структурный элемент АС соответствует значению контролируемого параметра, не совпавшего с эталонным, их конфигурирования и запуска;

- наличием механизма определения фактического состояния процесса функционирования автоматизированной системы и сравнения его исходным в случае, если запущенный на момент контроля эксплойт направлен на нарушение доступности обрабатываемой в АС информации.

в) Причинно-следственная связь между признаками и техническим результатом

Благодаря новой совокупности существенных признаков в заявленном способе обеспечивается повышение достоверности результатов контроля состояния функционирования АС за счет реализации активного метода контроля с помощью механизма формирования набора эксплойтов при несовпадении значений соответствующих контролируемых параметров, характеризующих состояние процесса функционирования структурных элементов, конфигурации сформированного набора и последовательного запуска соответствующих эксплойтов с учетом особенностей влияния процесса их выполнения на функционирование АС и ее взаимодействие со средством контроля, а также реализации механизма изменения последовательности применения активного и пассивного методов контроля во времени, приближенном к реальному, в ходе процедуры контроля состояния процесса функционирования АС.

Краткое описание чертежей

Заявленный способ поясняется чертежами, на которых показаны:

фиг. 1 - структура автоматизированной системы;

фиг. 2 - группировка контролируемых параметров структурных элементов автоматизированной системы;

фиг. 3 - группировка контролируемых параметров функциональных процессов автоматизированной системы;

фиг. 4 - блок-схема последовательности действий, реализующей способ комбинированного контроля состояния процесса функционирования автоматизированной системы;

фиг. 5 - структура специализированного средства контроля Metasploit;

фиг. 6 - принцип обработки прерывания программы контроля.

Осуществление изобретения

В целях обеспечения безопасности АС необходимо своевременно и с высокой достоверностью осуществлять контроль состояния процесса ее функционирования и предоставлять актуальные результаты контроля системе вышестоящего уровня иерархии (например, системам обработки событий информационной безопасности). В современных условиях контроль состояния процесса функционирования автоматизированных систем осуществляется за счет реализации методов пассивного и активного контроля.

Пассивный метод контроля состояния процесса функционирования АС заключается в сборе (измерении), обработке и анализе значений параметрических данных, характеризующих состояние процесса функционирования АС путем сравнения собранных данных с эталонными значениями, описывающими штатный режим ее функционирования. В качестве параметрических данных, как правило, рассматривают состояние сетевых портов и прикладных сервисов, ассоциированных с данными портами, наличие или отсутствие обновлений входящих в состав АС программных средств и т.д. К техническим решениям, реализующим пассивный метод контроля состояния процесса функционирования АС, относят, например, сканеры анализа защищенности Max Patrol, XSpider (см. функциональные возможности, например, на официальном сайте компании Positive Technologies [Электронный ресурс]. - Режим доступа. - URL: http://www.ptsecurity.ru).

Как правило, информационная атака, определяемая как совокупность действий нарушителя, направленная на реализацию угрозы информационной безопасности представляет собой процесс эксплуатации уязвимостей структурных элементов АС, основанных на недостатках в их конфигурации, ошибках, допущенных при разработке программных средств, входящих в его состав, не исправленных соответствующими обновлениями, и т.д., а поскольку корректно сформированные в процессе пассивного контроля параметрические данные отражают признаки наличия вышеупомянутых уязвимостей структурных элементов АС, выход измеренных значений параметрических данных за пределы значений, описывающих штатное функционирование АС, является необходимым условием наличия (возникновения) уязвимости структурного элемента АС.

Однако для эксплуатации выявленной уязвимости, помимо самого факта наличия уязвимости структурного элемента АС, необходимо наличие сопутствующих факторов, таких как, например, недостатки в настройке средств межсетевого экранирования, средств обнаружения вторжений и т.д. Помимо корректировки значений параметрических данных в соответствии с эталонными значениями, для предотвращения нарушения состояния процесса функционирования АС путем эксплуатации уязвимости структурных элементов возможна реализация компенсирующих мер, направленных, например, на внесение корректировок в конфигурацию средств защиты информации. Таким образом, в случае реализации компенсирующих мер, вероятность нарушения состояния процесса функционирования структурного элемента АС за счет эксплуатации выявленной уязвимости, определяемой значениями параметров, вышедшими за пределы значений, описывающих штатное функционирование АС, может быть снижена без корректировки значений параметрических данных.

То есть основным недостатком технических средств, реализующих пассивный метод контроля, является низкая достоверность результатов контроля, так как существует вероятность того, что выход значений контролируемых параметров, измеряемых в ходе пассивного контроля, не является достаточным условием нарушения состояния функционирования соответствующего структурного элемента автоматизированной системы, поскольку изменение состояния процесса функционирования структурных элементов может быть предотвращено компенсирующими мерами, не предусматривающими корректировку значений соответствующих контролируемых параметров.

Одним из способов повышения достоверности контроля состояния процесса функционирования АС является реализация активного метода контроля. Активный метод контроля состояния защищенности АС заключается в имитации информационных атак, направленных на АС с целью нарушения конфиденциальности, целостности и доступности обрабатываемой в АС информации. Формирование перечня компьютерных атак, подлежащих имитации, осуществляется на основе уязвимостей АС, выявленных средствами, реализующими метод пассивного контроля. Поскольку активный метод контроля направлен на имитацию реальных действий злоумышленника, он позволяет повысить достоверность результатов контроля защищенности. Наиболее известные технические решения, реализующие активный метод контроля состояния процесса функционирования автоматизированной системы, используют механизм эксплуатации известных уязвимостей и могут быть представлены такими средствами, как Metasploit (см. дополнительные сведения и документацию на официальном сайте Metasploit [Электронный ресурс]. - Режим доступа. - URL: http://www.metasploit.com) и дополнительными программными средствами, расширяющими его функционал, таких как АРТ2 и Armitage. Частично функционал по эксплуатации уязвимостей выполняет сетевой сниффер Burp Suite с возможностью инъекции вредоносного кода в перехваченные сетевые пакеты, а также сетевой сканер Nmap в совокупности с набором NSE-скриптов.

Основными недостатками технических средств, реализующих активный метод контроля состояния процесса функционирования автоматизированной системы, является их низкий уровень автоматизации, необходимость наличия определенных навыков у администратора безопасности для взаимодействия с ними, а также низкая достоверность результатов контроля автоматизированной системы, функционирующей при неустойчивых сетевых взаимодействиях с техническими средствами.

Таким образом, возникает противоречие между необходимостью обеспечить оперативную достоверную оценку в ходе контроля состояния процесса функционирования АС и отсутствием технических решений, позволяющих осуществлять комбинированный контроль состояния процесса функционирования АС путем реализации пассивного и активного методов с возможностью изменения последовательности их применения во времени, приближенном к реальному, с учетом возможности функционирования АС при неустойчивых сетевых взаимодействиях и устранения недостатков, присущих рассматриваемым методам контроля.

Реализация заявленного способа объясняется следующим образом. В общем случае АС представляет собой совокупность структурных элементов и коммуникационного оборудования, объединенных проводными и беспроводными линиями связи, как это показано на фиг. 1, включающей стационарную персональную ЭВМ (ПЭВМ) 1 и динамическую персональную ЭВМ (ПЭВМ) 2, сервер 3, коммутатор 4, автоматизированное рабочее место мониторинга безопасности 5, на которой установлена программа мониторинга, беспроводные точки доступа Wi-Fi 6 и 7. Неустойчивое сетевое взаимодействие автоматизированного рабочего места мониторинга безопасности 5 с динамическим объектом (ПЭВМ 2) возникает при его перемещении, в результате которого происходит потеря связи с беспроводной точкой доступа 6 (фиг. 1а). После перемещения динамический объект (ПЭВМ 2) подключают к беспроводной точке доступа 7 (фиг. 1б). Во время перемещения динамический объект (ПЭВМ 2) находится за пределами доступности беспроводных точек доступа 6 и 7. Структурные элементы АС определяются при мониторинге идентификаторами, в качестве которых в наиболее распространенном семействе протоколов TCP/IP используются сетевые адреса (IP-адреса). Структурные элементы выполняют функциональные процессы, такие как процессы обмена файлами, процессы передачи сообщений электронной почты, процессы сетевого взаимодействия. Функциональные процессы АС определяются логическими портами, под которыми понимают «точки входа» в программы, реализующие прикладные процессы пользователей. Каждый структурный элемент и функциональный процесс АС характеризуются множеством параметров, определяющих состояние информационной безопасности структурного элемента и/или процесса АС, и подлежащих контролю.

Предварительно задаваемые параметры, характеризующие безопасность элементов АС, представлены на фиг. 2, на которой приняты следующие обозначения:

Адр - IP-адрес;

АД - активность диспетчера подключений удаленного доступа;

АЛП - перечень активных логических портов;

АСПО - активность службы папок обмена;

ПКСФО - локальные настройки пользовательского клиента службы файлового обмена;

ПАСЭП - локальные настройки пользовательского агента службы электронной почты;

ССФО - локальные настройки сервера службы файлового обмена;

ССЭП - локальные настройки сервера службы электронной почты. Элементы АС характеризуются следующими общими для них параметрами (см. фиг. 2): IP-адрес;

активность диспетчера подключений удаленного доступа;

перечень активных логических портов;

активность службы папок обмена.

Кроме того, структурные элементы АС дополнительно характеризуются (см. фиг. 2):

1 - ПЭВМ 1 - локальными настройками пользовательского клиента службы файлового обмена;

2 - ПЭВМ 2 - локальными настройками пользовательского агента службы электронной почты;

3 - сервер - локальными настройками серверов службы файлового обмена и службы электронной почты.

Приведенные параметры образуют три группы, характеризующие состояние структурных элементов ПЭВМ 1, ПЭВМ 2 и сервера 3. Из числа элементов АС, изображенных на фиг. 2, службой файлового обмена охвачены 1 - ПЭВМ 1 и 3 - сервер, службой электронной почты охвачены 2 - ПЭВМ 2 и 3 - сервер, а процессами сетевого взаимодействия и службой папок обмена - все три структурных элемента АС. Взаимосвязь параметров структурных элементов и функциональных процессов приводит к необходимости группировки контролируемых параметров дополнительно в четыре следующие группы, представленные на фиг. 3:

4- я группа - службы файлового обмена (фиг. 3а);

5- я группа - службы электронной почты (фиг. 3б);

6- я группа - службы папок обмена (фиг. 3в);

7- я группа - сетевого взаимодействия (фиг. 3г).

Функциональные процессы АС характеризуются следующими общими для них параметрами (см. фиг. 3):

IP-адрес;

активность диспетчера подключений удаленного доступа;

перечень активных логических портов.

Кроме того, функциональные процессы АС дополнительно характеризуются (см. фиг. 3):

4-я группа - локальными настройками пользовательского клиента и сервера службы файлового обмена;

5-я группа - локальными настройками пользовательского агента и сервера службы электронной почты;

6-я группа - активностью службы папок обмена.

Для каждой сформированной таким образом группы контролируемых параметров задают их коэффициенты важности где g ∈ {1, 2, …, G}, и эталонные значения параметров.

В таблице 1 приведены: перечень контролируемых параметров и их эталонные значения, наименования групп контролируемых параметров и коэффициенты важности групп.

Значения коэффициентов важности и эталонные значения контролируемых параметров определяют из соображений важности обрабатываемой информации и потенциальной уязвимости структурного элемента (процесса) по методикам, использующим, например, неформальные, экспертные методы и задают в виде матрицы (таблицы) или базы данных (методики экспертных оценок известны и описаны, например, в книге Петренко С.А., Симонов С.В. «Управление информационными рисками. Экономически оправданная безопасность». - М.: Компания АйТи, ДМК Пресс, 2004. - 384 с.).

Знак «+» означает, что параметр относится к указанной группе, его значение может быть логическая «1», что соответствует состоянию «Включено», или логический «0», что соответствует состоянию «Выключено». Эталонное значение для всех параметров, кроме IP-адреса, - логическая «1». Отсутствие знака «+» означает, что при контроле группы значение параметра не считывают. В строке «Адр» представлены соответствующие идентификаторы структурных элементов АС. IP-адрес, имеющий длину 4 байта (32 бита), отображают в табл. 1 в наиболее употребляемом виде представления IP адреса - в десятичной форме (формат представления IP-адреса в десятичной форме известен и описан, например, в книге Олифера В.Г. и Олифера Н.А. «Компьютерные сети. Принципы, технологии, протоколы»: уч. для Вузов. - 2-е изд. - СПб.: Питер, 2003. - С. 497).

Максимальное и минимальное значения временных интервалов измерений значений контролируемых параметров и момент времени формирования отчета о безопасности АС задают директивно из соображений важности обрабатываемой информации и потенциальной уязвимости структурного элемента (функционального процесса). Кроме этого, минимальное значение временных интервалов измерений значений контролируемых параметров для каждой g-й группы, определяют таким, ниже которого процесс мониторинга будет или неполным, или будет наносить ущерб функционированию АС по целевому предназначению.

Пример задания временных характеристик мониторинга приведен в таблице 2.

Также задают массив D, который предназначен для хранения признака незавершенности измерения значений контролируемых параметров g-й группы и значения слова состояния программы мониторинга, установленной на автоматизированном рабочем месте мониторинга безопасности 5, в момент прерывания измерения значений контролируемых параметров, массив Е_ехр, представляющий собой множество {e₁, e₂, …, e_n} эксплойтов, причем r-й эксплойт e_r, где r ∈ {1, 2, …, n}, представляет собой компьютерную программу, фрагмент программного кода и/или последовательность команд, применяемый для проведения компьютерной атаки на автоматизированную систему, массив W для хранения множества упорядоченных наборов {E₁, Е₂, …, Е_р} эксплойтов, а также массив S для хранения контрольной информации о ходе выполнения задач контроля состояния процесса функционирования АС, включающей исходное s₀ и фактическое s₁ состояния процесса функционирования АС.

Массив Е_ехр эксплойтов формируется на основе баз данных эксплойтов, представленных и регулярно актуализируемых специализированными средствами контроля, например Metasploit. Структура программного средства Metasploit, содержащая в себе базу эксплойтов, приведена на фиг. 5. (см. содержимое базы данных эксплойтов, поддерживаемой компанией Offensive Security, на официальном репозитории ExploitDB [Электронный ресурс]. - Режим доступа. - URL: https://github.com/offensive-security/exploitdb).

Специализированное средство Metasploit представляет из себя совокупность следующих элементов.

Библиотеки:

Rex (Ruby Extension, расширение Ruby. Базовый компонент, содержит подсистемы обертки сокетов, реализации клиентских и серверных протоколов, подсистему журналирования и классы средств эксплуатации);

Ядро Metasploit (Реализация всех требуемых интерфейсов взаимодействия с модулями, плагинами и сессиями):

База Metasploit (набор базовых команд взаимодействия с ядром Metasploit и вспомогательных средств управления компонентами Metasploit); Интерфейсы: Консоль; Web-интерфейс; GUI (графический интерфейс);

Инструменты;

Плагины;

Модули:

Пейлоады (Payload, полезная нагрузка. Фрагменты кода, выполняющиеся в системе после эксплуатации уязвимости);

Эксплойты;

Кодировщики (Encoders, средства сокрытия признаков вредоносного кода путем кодирования или шифрования);

NOP'ы (Последовательности ассемблерных команд NOP, сдвигающих указатель выполнения программы на необходимые фрагмент памяти);

Прочее.

Массив E_exp содержит множество эксплойтов X, определяемое согласно методике, описанной в книге П. Мелла [Peter Mell] «А Complete Guide to the Common Vulnerability Scoring System. Version 2.0»: - Carnegie Mellon University, 2007. - c 123-139 следующим образом:

где Ψ_j - произвольный эксплойт, представленный в виде упорядоченного набора тегов (идентификаторов), характеризующих возможность его применения:

где z^Ψj - тип атаки Ψ_j, например z^Ψj=«DoS»;

В^Ψj - конечное множество ОС, на которых выполняется Ψ_j, например В^Ψj={Windows, …, Linux};

G^Ψj - конечное множество ПО, на которое направлено воздействие Ψ_j, например G^Ψj={Aimp, …, Chrome};

D^Ψj - конечное множество АО, на которое направлено воздействие Ψ_j, например D^Ψj={Zyxel, …, Intel};

Е^Ψj - конечное множество сетевых служб АС, на которые направлено воздействие Ψ_j, например E^Ψj={FTP, …, HTTP};

u^Ψj - тег (идентификатор) принадлежности Ψ^j к эксплойтам, предоставляемым специалистом по ИБ (пользовательские эксплойты).

ζ - общее количество эксплойтов, хранящихся в БД эксплойтов, предоставляемых разработчиком специализированных средств контроля, и специалистом по ИБ.

Блок-схема последовательности действий, реализующей заявленный способ комбинированного контроля состояния процесса функционирования АС, представлена на фиг. 4. Выбирают g-ю группу контролируемых параметров (бл. 2 на фиг. 4) и устанавливают значение интервала времени ΔT_g измерения значений контролируемых параметров каждой g-й группы равным максимальному (бл. 3 на фиг. 4). То есть первое измерение значений параметров будет произведено: для групп параметров с коэффициентом важности через 25 минут; для через 50 минут и т.д., как это показано в таблице 3.

После этого измеряют значения контролируемых параметров в каждой из G групп (бл. 4 на фиг. 4) и сравнивают измеренные значения параметров N_i с предварительно заданными эталонными значениями M_i (бл. 5 на фиг. 4). При несовпадении измеренных значений контролируемых параметров с эталонными (см. табл. 3, начиная с шага мониторинга №5) запоминают их (бл. 6 на фиг. 4) и проверяют доступность g-го структурного элемента АС для измерения значений контролируемых параметров (бл. 7 на фиг. 4). Информацию о доступности элементов АС можно получить простым эхо-запросом при помощи программной утилиты ping (см. утилита ping, например, в книге Олифера В.Г. и Олифера Н.А. «Компьютерные сети. Принципы, технологии, протоколы»: уч. для Вузов. - 4-е изд. - СПб.: Питер, 2010. - С.596-597). Если элементы АС отвечают на эхо-запросы, то они считаются доступными, в противном случае - недоступными. При недоступности g-го структурного элемента АС для измерения значений контролируемых параметров (см. табл. 3, начиная с шага мониторинга №16), вызывается прерывание программы мониторинга, установленной на автоматизированном рабочем месте мониторинга безопасности 5. Принцип обработки прерывания программы мониторинга представлен на фиг. 6, на которой приняты следующие обозначения:

N - адрес в основной памяти автоматизированного рабочего места мониторинга безопасности 5, на котором произошло прерывание;

Y - начальный адрес обработки прерывания в основной памяти автоматизированного рабочего места мониторинга безопасности 5;

L - размер обработчика прерывания в основной памяти автоматизированного рабочего места мониторинга безопасности 5;

Т - последний адрес перед массивом D в основной памяти автоматизированного рабочего места мониторинга безопасности 5;

М - размер массива D в основной памяти автоматизированного рабочего места мониторинга безопасности 5;

РОН - регистры общего назначения процессора автоматизированного рабочего места мониторинга безопасности 5.

На фиг. 6 указаны только те элементы основной памяти и процессора автоматизированного рабочего места мониторинга безопасности 5, которые используются при объяснении принципа обработки прерывания программы мониторинга.

На фиг. 6а изображена обработка прерывания программы мониторинга после получения информации о недоступности g-го структурного элемента АС. Кроме того (см. фиг. 6а), в один из РОН устанавливается логическая «1» (TRUE), обозначающая признак незавершенности измерения значений контролируемых параметров (N_i), и записывается в массив D (бл. 8 на фиг. 4), находящийся в основной памяти автоматизированного рабочего места мониторинга безопасности. После этого запоминают значение ССП, в которое входит значение N+1 программного счетчика, в массив D (бл. 9 на фиг.4) (общая организация системы прерываний описана, например, в книге Тихонова В.А. и Баранова А.В. «Организация ЭВМ и систем»: учебник. - М.: Гелиос, 2008. - С. 57-95).

После запоминания значения ССП осуществляется корректировка значения временного интервала измерений по формуле (бл. 22 на фиг. 4) и сравнение откорректированного значения с минимальным (бл. 23 на фиг. 4) При переходят к сравнению времени T_g измерения значений контролируемых параметров с заданным моментом времени формирования отчета (бл. 12 на фиг. 4). При проверяют наличие признака выполнения эксплойта (бл. 13 на фиг. 4). Процедура проверки наличия признака выполнения эксплойта может быть осуществлена за счет механизмов, реализованных в специализированных средствах контроля. Например, при использовании специализированного средства контроля Metasploit в качестве признака выполнения эксплойта может выступать возвращаемый параметр, в который при завершении процедуры выполнения эксплойта записываются данные об успешной эксплуатации уязвимости, досрочном завершении процедуры выполнения эксплойта по истечении времени, выделенного специализированным средством контроля на его выполнение либо результат выполнения «полезной нагрузки», то есть подпрограммы, составляемой пользователем и автоматически запускаемой при получении доступа к атакуемой системе в рамках выполнения эксплойта. В случае, если выполнение эксплойта завершено (прервано), параметр принимает соответствующие значения. В случае, если эксплойт выполняется - параметр не содержит данных. То есть в роли признака выполнения эксплойта может выступать наличие данных в параметре, возвращаемом при завершении его выполнения. (Особенности взаимодействия с программным средством Metasploit см., например, в книге А. Сингха [Abhinav Singh] «Metasploit penetration testing cookbook»: Бирмингем: Packt Publishing, 2012. - C. 53-63).

В случае отсутствия признака выполнения эксплойтов переходят к проверке наличия результата выполнения эксплойта (бл. 14 на фиг. 4), осуществляемой, например, на основе возвращаемого параметра, обрабатываемого механизмами специализированного средства контроля, описанного выше. В качестве признака наличия результата выполнения эксплойта при этом может выступать значения параметра, не содержащие сведения о досрочном завершении выполнения эксплойта. При отсутствии результата выполнения очередного эксплойта из набора, E_i эксплойтов, проверяют сформированность набора E_i эксплойтов (бл. 15 на фиг. 4) путем поиска в массиве W наборов эксплойтов, соответствующих измеренному значению N_i контролируемого параметра g-го структурного элемента. В случае, если необходимый набор не сформирован (отсутствует в массиве W), переходят к проверке наличия признака незавершенности измерения значений контролируемых параметров g-й группы в массиве D (бл. 16 на фиг. 4).

В случае отсутствия признака незавершенности измерения значений контролируемых параметров в массиве D осуществляется переход к измерению значений контролируемых параметров (бл. 4 на фиг. 4).

В случае наличия признака незавершенности в массиве D осуществляется процесс возврата к основной программе мониторинга после обработки прерывания, принцип которого изображен на фиг. 6б. Кроме того (см. фиг. 6б), сначала удаляют признак незавершенности измерения значений контролируемых параметров (N_i) из массива D (бл. 17 на фиг. 4) посредством замены TRUE на FALSE (логический «0»), а затем считывают значение ССП из массива D (бл. 18 на фиг. 4) посредством перезаписи значения программного счетчика с Y+L на N+1. После обработки прерывания программы мониторинга измеряют значения контролируемых параметров (N_i) с момента прерывания основной программы мониторинга (бл. 19 на фиг. 4) (см. табл. 3, шаг мониторинга №17) и переходят к сравнению измеренных значений контролируемых параметров с эталонными (бл. 5 на фиг. 4).

Если набор E_i эксплойтов, соответствующий значению контролируемого параметра, не совпавшего с эталонным, сформирован, осуществляет считывание очередного эксплойта из массива W (бл. 20 на фиг. 4), его запуск (бл. 21 на фиг. 4) и переход к проверке наличия признака незавершенности в массиве D (бл. 16 на фиг. 4). Запуск эксплойта осуществляется за счет взаимодействия со специализируемым средством контроля.

Например (см. табл. 3), на шаге мониторинга №5 в результате сравнения значений контролируемых параметров с эталонными выявлено их несовпадение у 6-й и 7-й групп контролируемых параметров в связи с недоступностью сервера. После проверки доступности, установки признака незавершенности измерения контролируемого параметра в массив D и записи значения слова состояния программы в массив D значение временного интервала измерений корректируют:

и записывают в табл. 3 в строке шага мониторинга №5. Изменение текущего временного интервала измерений до 8 минут приводит к тому, что мониторинг 6-й и 7-й групп параметров будет производиться чаще, что и видно из табл. 3, где, начиная с шага мониторинга №6, интервал мониторинга сократился (перестал быть кратным 25-и минутам). После этого сравнивают откорректированное значение с минимальным и т.к. (8>5) переходят к сравнению времени T_g измерения значений контролируемых параметров с заданным моментом времени формирования отчета, поскольку (125<250) проверяют наличие признаков выполнения соответствующего эксплойта. Но, поскольку ранее набор эксплойтов не был сформирован и запущен, отсутствуют и признаки выполнения, и результаты выполнения. Таким образом, проверив сформированность набора эксплойтов, осуществляется переход к проверке наличия признака незавершенности измерения значений контролируемых параметров g-й группы в массиве D. Поскольку признак незавершенности измерения значений контролируемых параметров 6-й и 7-й групп был установлен в массив D ранее, осуществляют удаление признака незавершенности измерения значения контролируемого параметра из массива D, считывают значение слова состояния программы и заново измеряют значение контролируемого параметра с момента прерывания (шаг №6 в табл. 3). Если на шаге контроля №6 значения контролируемых параметров у 6-й и 7-й групп вновь не совпали с эталонными, а сервер по прежнему недоступен, то после установки признака незавершенности измерения контролируемого параметра в массив D и записи значения слова состояния программы в массив D значения временных интервалов измерений рассматриваемых групп вновь корректируют:

Так как выполнено условие для 6-й и 7-й групп (3<5), то формируют сигнал тревоги о выходе контролируемых параметров в 6-й и 7-й группах за пределы допустимых значений. После чего блокируют работу элементов АС, параметры которых вышли за пределы допустимых значений и включают в отчет о состоянии АС сведения о заблокированных элементах, а мониторинг остальных групп контролируемых параметров продолжают до наступления условия как это показано в табл. 3 на шагах мониторинга №7-20.

В случае если результат выполнения эксплойта получен, осуществляется проверка достижения цели выполнения эксплойта (бл. 34 на фиг. 4). В случае, если цель выполнения эксплойта состоит в получении несанкционированного доступа к g-му структурному элементу АС, достижение цели может быть однозначно определено по полученному результату. Формат и содержание возвращаемого результата определяется специализированным средством контроля. Например, если выполнение эксплойта реализовано за счет использования специализированного средства контроля Metasploit, а сам эксплойт подразумевает получение терминального доступа к атакуемому g-му структурному элементу, возможно формирование полезной нагрузки эксплойта, т.е. фрагмента кода или части вредоносной программы, который непосредственно выполняет деструктивное воздействие на структурный элемент, таким образом, чтобы при получении доступа осуществлялось сбрасывание терминального соединения с возвратом специализированному средству контроля значения, интерпретируемого как достижение цели выполнения эксплойта. Процедура формирования и анализа результатов выполнения полезной нагрузки с помощью специализированного средства контроля Metasploit описана в книге А. Сингха [Abhinav Singh] «Metasploit penetration testing cookbook»: Бирмингем: Packt Publishing, 2012. - С. 40-50. В случае, если эксплойт направлен на нарушение сетевой доступности g-го структурного элемента, проверку достижения цели его выполнения возможно осуществить путем получения информации о доступности g-го структурного элемента простым эхо-запросом при помощи программной утилиты ping, описанным ранее. Если эксплойт направлен на нарушение доступности сетевого сервиса (WEB-сервер, FTP-сервер и т.д.), проверка достижения цели выполнения эксплойта может быть осуществлена за счет формирования и отправки соответствующих запросов к атакуемым сервисам. В случае отсутствия ответа либо при получении ответа, содержащего информацию о неполадках в функционировании сервиса целесообразно сделать вывод о достижении цели выполнения эксплойта. Примером подобной проверки может выступать использование сетевой утилиты Telnet для проверки доступности НТТР-сервера. С помощью Telnet формируется запрос по соответствующему IP-адресу и порту и в случае, если сервер не отвечает, либо возвращает код ошибки (к примеру «404 Not Found» или «408 Request timeout»), делается вывод о недоступности сервера либо о его некорректном функционировании.

Если цель выполнения не достигнута, осуществляется сравнение значения индекса эксплойта с значением индекса эксплойта, принадлежащих i-му упорядоченному набору E_i эксплойтов (бл. 39 на фиг. 4). При j<m значение индекса j увеличивают на 1 (бл. 40 на фиг. 4) и переходят к считыванию очередного эксплойта из массива W (бл. 20 на фиг. 4). При j≥m i-й упорядоченный набор E_i эксплойтов удаляется из массива W (бл. 41 на фиг. 4), затем осуществляется сравнение значение индекса i-го упорядоченного набора E_i эксплойтов с значением индекса -го упорядоченного набора Е_р эксплойтов, входящих в массив W (бл. 42 на фиг. 4). В случае i<р значение индекса i увеличивают на 1 (бл. 42 на фиг. 4)и переходят к считыванию эксплойта из массива D (бл. 20 на фиг. 4), а при i≥р переходят к проверке наличия признака незавершенности измерения значений контролируемых параметров g-й группы в массиве D (бл. 16 на фиг. 4).

Например, пусть массив W содержит 3 набора E_i, в каждом из которых по 5 эксплойтов . В случае, если в данный момент выполняется третий эксплойт из первого набора, то индекс эксплойта в наборе j=3, а индекс набора i=1, соответственно выполняется условие j<m (3<5), при котором значение индекса j увеличивают на 1, из массива W считывают j-й эксплойт i-го набора, то есть четвертый эксплойт первого набора.

Если выполняется пятый эксплойт первого набора (j=5, i=1), выполняется условие j≥m, при из набора W удаляют полностью рассмотренный i-й набор эксплойтов E_i, а поскольку i<р, то значение индекса i увеличивают на 1 и переходят к считыванию и запуску первого эксплойта второго набора. В случае, если выполняется пятый эксплойт третьего набора, выполняются условия i≥р и j≥m, то есть рассматривается последний эксплойт из последнего набора E_i из массива W. В этом случае осуществляется переход к проверке наличия признака незавершенности измерения N_i в D.

В случае достижения цели выполнения эксплойта производится очистка массива W (бл. 35 на фиг. 4) путем последовательного удаления из памяти всех элементов, содержащихся в массиве, формируется сигнал тревоги о выходе контролируемых параметров в g-й группе за пределы допустимых значений (бл. 36 на фиг. 4), работа g-го структурного элемента АС, параметры которого вышли за пределы допустимых значений, блокируется (бл. 37 на фиг. 4), формируется отчет о безопасности АС (бл. 38 на фиг. 4), на основе которого принимается решение о состоянии процесса функционирования АС (бл. 43 на фиг. 4).

В случае наличия признаков выполнения эксплойта производится проверка его направленности на нарушение доступности g-го структурного элемента (бл. 24 на фиг. 4). Проверка направленности эксплойта осуществляется за счет анализа вектора опасности CVSS^Ωi уязвимости Ωⁱ, которая соответствует значению контролируемого параметра g-й структурного элемента автоматизированной системы, не совпавшему с эталонным, на которую направлен эксплойт.

Вектор опасности уязвимости Ωⁱ, представлен в виде упорядоченного набора следующих тегов (идентификаторов):

Где - вектор атаки (степень удаленности потенциального атакующего от АС), использующей Ωⁱ;

- сложность эксплуатации Ωⁱ на АС;

- требуемый уровень привилегий (прав), необходимый для проведения атаки, использующей Ωⁱ;

- оценка степени влияния атаки, использующей Ωⁱ, на конфиденциальность, целостность и доступность информации, содержащейся в АС, соответственно.

Кроме того, указанные теги принимают значения:

Где N - Network, то есть потенциальный атакующий проводит атаку, используя Ωⁱ через глобальную сеть;

L - Local, то есть потенциальный атакующий проводит атаку, используя Ωⁱ, через локальную сеть;

где L - Low, то есть низкий уровень сложности эксплуатации Ωⁱ на АС;

М - Medium, то есть средний уровень сложности эксплуатации Ωⁱ на АС;

Н - High, то есть высокий уровень сложности эксплуатации Ωⁱ на АС;

где N - None, то есть при проведении атаки, использующей Ωⁱ, не требуется расширенных прав доступа к АС;

S - Single, то есть при проведении атаки, использующей Ωⁱ требуются права пользователя АС;

М - Multiple, то есть при проведении атаки, использующей Ωⁱ требуются права администратора АС;

где N - None, то есть атака, использующая Ωⁱ, не оказывает воздействие на конфиденциальность, целостность и доступность информации, содержащейся в АС;

Р - Partial, то есть атака, использующая Ωⁱ, частично оказывает воздействие на конфиденциальность, целостность и доступность информации, содержащейся в АС;

С - Complete, то есть атака, использующая Ωⁱ, оказывает полное воздействие на конфиденциальность, целостность и доступность информации, содержащейся в АС.

Соответственно, для определения направленности эксплойта осуществляется анализ тегов вектора опасности соответствующей уязвимости. В случае, если тег принимает значение С, а теги принимают значения Р или N, либо тег принимает значение Р, а теги принимают значения N, эксплойт направлен на нарушение доступности.

В случае отсутствия признаков направленности эксплойта на нарушение доступности g-го структурного элемента производится переход к проверке наличия признака незавершенности измерения значений контролируемых параметров g-й группы в массиве D (бл. 16 на фиг. 4).

При наличии признаков направленности эксплойта на нарушение доступности g-ro структурного элемента АС осуществляется определение фактического s₁ состояния процесса функционирования g-го структурного элемента АС (бл. 25 на фиг. 4).

Поскольку изменение состояния процесса функционирования g-го структурного элемента в данном случае может являться следствием не только функционирования эксплойта, но и преднамеренным санкционированным внесением изменением в конфигурацию структурного элемента АС, существует необходимость разделения данных состояний. В целях определения изменения состояния процесса функционирования g-го структурного элемента фактическое состояние процесса функционирования определяется как совокупность сведений о доступности g-го структурного элемента, определяемой эхо-запросом эхо-запросом при помощи программной утилиты ping, либо путем отправки соответствующих запросов к атакуемым сервисам и анализа возвращаемых значений при помощи сетевой утилиты Telnet, а также сведений о сетевой нагрузке на автоматизированную систему, выраженных количеством принимаемых сетевых пакетов от адресов за пределами АС либо генерируемыми и отправляемыми структурными элементами АС. Сбор сведений о сетевой нагрузке автоматизированной системы возможен за счет использования специализированных распределенных программных средств мониторинга, таких как Zabbix, позволяющих в реальном времени отслеживать сетевую нагрузку тех или иных структурных элементов автоматизированной системы. Описание распределенной системы мониторинга Zabbix и руководство по отслеживанию сетевой нагрузки см. на официальном сайте Zabbix [Электронный ресурс]. - Режим доступа. - URL: https://www.zabbix.com.

После определения фактического s₁ состояния из массива S считывают исходное s₀ состояния процесса функционирования g-го структурного элемента автоматизированной системы для их последующего сравнения (бл. 26 на фиг. 4). При сравнении состояний (бл. 27 на фиг. 4) учитывается тот факт, что при первоначальном запуске исходное s₀ значение состояние процесса функционирования g-го структурного элемента не содержит данных и, соответственно, при первом сравнении фактическое s₁ и исходное s₀ состояния процесса функционирования g-го структурного элемента не совпадают

В этом случае (s₁≠s₀) значение фактического s₁ состояния процесса функционирования g-го структурного элемента АС присваивают значению исходного s₀ состояния g-го структурного элемента автоматизированной системы (бл. 30 на фиг. 4), которое запоминают в массиве S (бл. 31 на фиг. 4) и переходят к проверке наличия признака незавершенности измерения значений контролируемых параметров g-й группы в массиве D (бл. 16 на фиг. 4).

В случае если s₁=s₀, то есть процедура определения фактического s₁ состояния процесса функционирования g-го структурного элемента была произведена на одном из предыдущих шагов выполнения контроля, при котором g-й структурный элемент был недоступен при выполнении эксплойта, направленного на нарушение доступности g-го структурного элемента, выполнение эксплойта останавливают (бл. 28 на фиг. 4), массив S очищают (бл. 29 на фиг. 4) и переходят к проверке достижения цели выполнения эксплойта (бл. 34 на фиг. 4)

При наступлении условия формируют отчет о состоянии АС (бл. 38 фиг. 4), в который включают сведения о ее заблокированных элементах, и на основании его принимают решение о состоянии безопасности АС (бл. 43 фиг. 4).

В случае, если выполнено условие то формируется сигнал тревоги о выходе контролируемых параметров за пределы допустимых значений (бл. 36 на фиг. 4). После чего блокируют работу структурного элемента АС, значения контролируемых параметров которого вышли за пределы допустимых значений (бл. 37 на фиг. 4) и включают в отчет о состоянии АС сведения о заблокированных элементах.

В случае, если g-й структурный элемент АС доступен для измерения значений контролируемых параметров, производится считывание эксплойтов из массива Е_ехр путем взаимодействия со специализированными средствами контроля и содержащими соответствующую базу данных эксплойтов (бл. 10 на фиг. 4), и формирование набора эксплойтов E_i соответствующего измеренному значению N_i контролируемых параметров g-го структурного элемента АС (бл. 11 на фиг. 4).

Формирование набора E_i эксплойтов производится следующим образом.

Значение контролируемого параметра, не совпавшее с эталонным, определяется как уязвимость и представляется в виде упорядоченного набора тегов (идентификаторов), характеризующих уязвимые элементы сканируемой АС:

где B^Ωi - конечное множество операционных систем (ОС) АС, в которых реализуется Ω_i например В^Ωi={Windows, …, Linux};

G^Ωi - конечное множество программного обеспечения (ПО) АС, в котором реализуется Ω_i например G^Ωi={Aimp, …, Chrome};

D^Ωi - конечное множество аппаратного обеспечения (АО) АС, в котором реализуется Ω_i например D^Ωi={Zyxel, …, Intel};

E^Ωi - конечное множество сетевых служб АС, в которых реализуется Ω_i, например E^Ωi={FTP, …, HTTP};

CVSS^Ωi - вектор опасности Ω_i, определенный выше.

Для представленной уязвимости определяется общий индекс опасности в виде:

где r(CVSS^Ωi) - функция, задаваемая на основе подходов, описанных в книге П. Мелла [Peter Mell] «А Complete Guide to the Common Vulnerability Scoring System. Version 2.0»: - Carnegie Mellon University, 2007. - с 142-150.

α - общее количество уязвимостей AC, определенных в результате контроля состояния процесса функционирования автоматизированной системы.

Набор эксплойтов J, направленность которых соответствует тегам Ω_i ∈ R, определяется следующим образом:

где Φ_λ - произвольный эксплойт, принадлежащий J;

ϕ - общее количество эксплойтов, направленность которых соответствует тегам Ω_i ∈ R

Φ_λ определяется на основании соответствия тегов Ψ_j и Ω_i:

где f₀(Ψ_j, Ω_i) - функция, определяющая соответствие тегов, присущих Ψ_j и Ω_i

где f₁(Y^Ψj, Y^Ωi) - функция, определяющая соответствие значений тегов, характеризующих ОС, ПО, АО и сетевые службы АС, в которых выполняется (направлено воздействие) Ψ_j и реализуется Ω_i

где Y^Ψj - произвольный тег, принимающий значения, соответствующие характеристикам B^Ψj, G^Ψj, D^Ψj, E^Ψj;

Y^Ωi - произвольный тег, принимающий значения, соответствующие характеристикам В^Ωi G^Ωi, D^Ωi, E^Ωi.

Сформированный E_i набор эксплойтов запоминают в W (бл. 32 на фиг. 4), затем массив W упорядочивают (конфигурируют) (бл. 33 на фиг. 4) следующим образом.

Для каждого Φ_λ ∈ J, реализующего соответствующую Ω_i определяется вектор опасности (CVSS^Φλ) в виде:

А также общий индекс опасности в виде:

где r(CVSS^Φλ) - функция, задаваемая на основе подходов, описанных в книге П.Мелла [Peter Mell] «А Complete Guide to the Common Vulnerability Scoring System. Version 2.0»: - Carnegie Mellon University, 2007. – с. 123-139.

В результате процедуры конфигурирования J формируется упорядоченный набор эксплойтов W:

Где - произвольный набор эксплойтов, принадлежащий W;

ν - общее количество наборов эксплойтов, содержащихся в упорядоченном наборе эксплойтов.

Формирование W осуществляется на основе следующих принципов.

Принцип №1. Эксплойты, позволяющие обеспечить расширение привилегий (прав), выполняются в первую очередь.

Принцип №2. Эксплойты, нарушающие доступность информации, содержащейся в АС, выполняются в последнюю очередь.

Принцип №3. Эксплойты, требующие меньше привилегий (прав), выполняются с большим приоритетом.

Принцип №4. Эксплойты, нарушающие конфиденциальность информации, содержащейся в АС, выполняются с большим приоритетом, чем эксплойты, нарушающие целостность информации.

Принцип №5. Пользовательские эксплойты выполняются с большим приоритетом, чем эксплойты, предоставляемые разработчиком специализированного средства контроля.

Принцип №6. Эксплойты с большим индексом выполняются с большим приоритетом.

На основе принципов №1-6 процесс конфигурирования J представим в виде последовательного выполнения следующих этапов:

1 этап - выделение эксплойтов по принципам №1-3;

2 этап - выделение эксплойтов по принципу №4;

3 этап - выделение эксплойтов по принципам №1-6.

В рамках первого этапа процесса конфигурирования J на основе принципов №1-3 и тегов (идентификаторов) CVSS^Φλ, а также тега z^Φλ множество J декомпозируется на следующие подмножества:

1. Множество эксплойтов, позволяющих обеспечить расширение привилегий (прав) (Q₁):

где Δ_β - произвольный эксплойт, принадлежащий Q₁,

χ - общее количество эксплойтов, позволяющих обеспечить расширение привилегий (прав).

2. Множество эксплойтов, нарушающих доступность информации, содержащейся в AC (Q₂):

где Γ_δ - произвольный эксплойт, принадлежащий Q₂;

ε - общее количество эксплойтов, нарушающих доступность информации, содержащейся в АС.

3. Множество эксплойтов, не требующих расширенных прав доступа к АС (Q₃):

где О_φ - произвольный эксплойт, принадлежащий Q₃;

γ - общее количество эксплойтов, не требующих расширенных прав доступа к АС.

4. Множество эксплойтов, требующих права пользователя AC (Q₄):

где Π_η - произвольный эксплойт, принадлежащий Q₄;

l - общее количество эксплойтов, требующих права пользователя АС.

5. Множество эксплойтов, требующих права администратора AC (Q₅):

где Λ_к - произвольный эксплойт, принадлежащий Q₅;

μ - общее количество эксплойтов, требующих права администратора АС.

Формирование Q₁ осуществляется посредством определения Δ_β в J:

где z^Φλ - тег (идентификатор), определяющий тип атаки Φ_λ. Формирование Q₂ осуществляется посредством определения Γ_δ в J:

где A^CVSSΦλ - оценка степени влияния Φ_λ на доступность информации, содержащейся в АС.

Формирование Q₃ осуществляется посредством определения О_φ в J:

где AU^CVSSΦλ требуемый уровень привилегий (прав), необходимый для выполнения Φ_λ).

Формирование Q₄ осуществляется посредством определения Π_η в J:

Формирование Q₅ осуществляется посредством определения Λ_к в J:

Затем в рамках второго этапа процесса конфигурирования J на основе принципа №4 и тегов (идентификаторов) CVSS^Φλ множества Q₃, Q₄, Q₅ декомпозируются на следующие подмножества:

1. Множество эксплойтов, нарушающих конфиденциальность информации, содержащейся в АС, и не требующих расширенных прав доступа к

где Θ₀ - произвольный эксплойт, принадлежащий

π - общее количество эксплойтов, нарушающих конфиденциальность информации, содержащейся в АС, и не требующих расширенных прав доступа к АС.

2. Множество эксплойтов, нарушающих целостность информации, содержащейся в АС, и не требующих расширенных прав доступа к

где Σ_ϖ- произвольный эксплойт, принадлежащий

θ - общее количество эксплойтов, нарушающих целостность информации, содержащейся в АС, и не требующих расширенных прав доступа к АС.

3. Множество эксплойтов, нарушающих конфиденциальность информации, содержащейся в АС, и требующих права пользователя АС

где Т_ϑ - произвольный эксплойт, принадлежащий

ρ - общее количество эксплойтов, нарушающих конфиденциальность информации, содержащейся в АС, и требующих права пользователя АС.

4. Множество эксплойтов, нарушающих целостность информации, содержащейся в АС, и требующих права пользователя

где Z_σ - произвольный эксплойт, принадлежащий

ς - общее количество эксплойтов, нарушающих целостность информации, содержащейся в АС, и требующих права пользователя АС.

5. Множество эксплойтов, нарушающих конфиденциальность информации, содержащейся в АС, и требующих права администратора АС

где F_τ - произвольный эксплойт, принадлежащий

υ - общее количество эксплойтов, нарушающих конфиденциальность информации, содержащейся в АС, и требующих права администратора АС.

6. Множество эксплойтов, нарушающих целостность информации, содержащейся в АС, и требующих права администратора

где S_ω - произвольный эксплойт, принадлежащий

ψ - общее количество эксплойтов, нарушающих целостность информации, содержащейся в АС, и требующих права администратора АС.

Формирование осуществляется посредством определения О_φ, Π_η, Λ_к в соответствующие в общем виде:

где g - произвольный эксплойт, соответствующий О_φ ∈ Q₃, либо Π_η ∈ Q₄, либо Λ_к ∈ Q₅;

U - произвольный эксплойт, соответствующий либо , либо

- оценка степени влияния g на конфиденциальность информации, содержащейся в АС.

Формирование осуществляется посредством определения О_φ, Π_η, Λ_к в соответствующие в общем виде:

где V - произвольный эксплойт, соответствующий либо , либо

I^CVSSg - оценка степени влияния g на целостность информации, содержащейся в АС.

В рамках третьего этапа процесса конфигурирования J на основе принципов №1-6 представляется в виде:

Эксплойты, образующие выбираются из соответствующих множеств на основе принципов №5, 6, то есть наибольшим приоритетом при реализации процедуры выбора обладают пользовательские эксплойты с наибольшим значением индекса

Кроме того, в целях недопущения случаев повторного добавления Φ_λ в W осуществляется его исключение из множества J после каждого формирования , в который входит Φ_λ.

После конфигурирования W осуществляется переход к корректировке ΔT_g (бл. 22 на фиг. 4)

В случае совпадения измеренных значений контролируемых параметров с их эталонными значениями переходят к сравнению времени T_g измерения значений контролируемых параметров с заданным моментом времени формирования отчета (бл. 12 на фиг. 4).

Таким образом, благодаря новой совокупности существенных признаков в заявленном изобретении обеспечивается повышение достоверности результатов контроля состояния процесса функционирования автоматизированной системы за счет реализации совокупности пассивного и активного методов контроля состояния процесса функционирования автоматизированной системы путем формирования набора эксплойтов, направленность которых на g-й структурный элемент автоматизированной системы соответствует значению контролируемого параметра, не совпавшего с эталонным, конфигурирование массива, содержащего данные наборы, последовательный контролируемый запуск эксплойтов, содержащихся в массиве за счет взаимодействия со специализированными средствами контроля и обработку результатов выполнения эксплойтов.

Способ комбинированного контроля состояния процесса функционирования автоматизированной системы, заключающийся в том, что предварительно задают множество из N≥2 контролируемых параметров, характеризующих безопасность автоматизированной системы, М≥N эталонных значений контролируемых параметров, формируют из числа предварительно заданных контролируемых параметров G≥2 групп контролируемых параметров, причем каждая g-я группа контролируемых параметров, где g ∈ {1, 2, …, G}, характеризует безопасность g-го структурного элемента АС, для каждой g-й группы контролируемых параметров задают коэффициенты важности максимальное и минимальное значения временных интервалов измерений значений контролируемых параметров, момент времени формирования отчета о безопасности автоматизированной системы и массив D для хранения признака незавершенности измерения значений контролируемых параметров g-й группы и значения слова состояния программы контроля в момент прерывания измерения значении контролируемых параметров, а затем выбирают g-ю группу контролируемых параметров, устанавливают значение интервала времени ΔT_g измерения значений контролируемых параметров g-й группы равным максимальному измеряют значения контролируемых параметров в каждой из G групп, сравнивают измеренные значения контролируемых параметров с эталонными, в случае несовпадения запоминают их, проверяют доступность g-го структурного элемента автоматизированной системы для измерения значений контролируемых параметров, в случае его недоступности устанавливают признак незавершенности изменения значений контролируемых параметров g-й группы в массиве D, запоминают в массиве D значение слова состояния программы контроля в момент прерывания измерения значений контролируемых параметров, корректируют значение временного интервала измерений значений контролируемых параметров по формуле сравнивают откорректированное значение с минимальным в случае , сравнивают время T_g измерения значений контролируемых параметров с заданным моментом времени формирования отчета и при проверяют наличие признака незавершенности измерения значений контролируемых параметров g-й группы в массиве D, в случае его отсутствия переходят к измерению значений контролируемых параметров в каждой из G групп, а при наличии в массиве D признака незавершенности измерения значений контролируемых параметров g-й группы удаляют его из массива D, считывают запомненное значение слова состояния программы контроля из массива D, измеряют значения контролируемых параметров с момента прерывания их измерения и переходят к сравнению измеренных значений контролируемых параметров с эталонными, в случае формируют отчет и по сформированному отчету принимают решение о состоянии процесса функционирования автоматизированной системы, а при формируют сигнал тревоги о выходе контролируемых параметров в g-й группе за пределы допустимых значений, блокируют работу элементов автоматизированной системы, параметры которых вышли за пределы допустимых значений, включают в отчет сведения о состоянии процесса функционирования автоматизированной системы сведения о ее заблокированных элементах, в случае доступности g-го структурного элемента автоматизированной системы для измерения значений контролируемых параметров переходят к корректировке значения временного интервала измерений значений контролируемых параметров но формуле , а при совпадении измеренных значений контролируемых параметров с эталонными переходят к сравнению времени T_g измерения значений контролируемых параметров с заданным моментом времени формирования отчета, отличающийся тем, что дополнительно задают массив Е_ехр, представляющий собой множество Е_ехр={e₁, e₂, …, e_n} эксплойтов, причем r-й эксплойт e_r ∈ Е_ехр, где r ∈ {1, 2, …, n}, представляет собой компьютерную программу, фрагмент программного кода и/или последовательность команд, применяемые для проведения компьютерной атаки на автоматизированную систему, массив W для хранения множества упорядоченных наборов W={Е₁, Е₂, …, Е_р} эксплойтов, причем i-й упорядоченный набор E_i ∈ W эксплойтов, где i ∈ {1, 2, …, р}, представляет собой набор эксплойтов, причем направленность j-эксплойта ∈ E_i, где j ∈ {1, 2, …, m} на g-й структурный элемент соответствует значению контролируемого параметра, не совпавшего с эталонным, массив S для хранения контрольной информации о ходе выполнения задач контроля состояния процесса функционирования автоматизированной системы, включающей исходное s₀ и фактическое s₁ состояния процесса функционирования g-го структурного элемента автоматизированной системы, а после сравнения времени измерения значений контролируемых параметров с заданным моментом времени формирования отчета и при проверяют наличие признаков выполнения эксплойта, в случае отсутствия признаков проверяют наличие результата выполнения эксплойта и при отсутствии результата проверяют сформированность набора E_i эксплойтов, в случае несформированности набора переходят к проверке наличия признака незавершенности измерения значений контролируемых параметров g-й группы в массиве D, в случае сформированности набора E_i эксплойтов считывают эксплойт из массива W, запускают эксплойт и переходят к проверке наличия признака незавершенности измерения значений контролируемых параметров g-й группы в массиве D, а при наличии результата выполнения эксплойта проверяют достижение цели его выполнения, в случае не достижения цели выполнения эксплойта сравнивают значение индекса эксплойта с значением индекса эксплойта, принадлежащих i-му упорядоченному набору E_i эксплойтов, и при j<m увеличивают значение индекса j на 1, переходят к считыванию эксплойта из массива W, а при j≥m удаляют i-й упорядоченный набор E_i эксплойтов из массива W, сравнивают значение индекса i-го упорядоченного набора E_i эксплойтов с значением индекса р-го упорядоченного набора Е_р эксплойтов, входящих в массив W, в случае i<р увеличивают значение индекса i на 1, переходят к считыванию эксплойта из массива W, а при i≥р переходят к проверке наличия признака незавершенности измерения значений контролируемых параметров g-й группы в массиве D, а в случае достижения цели очищают массив W и переходят к формированию сигнала тревоги о выходе контролируемых параметров в g-й группе за пределы допустимых значений, а после блокирования работы элементов автоматизированной системы, параметры которых вышли за пределы допустимых значений, переходят к формированию отчета, а при наличии признаков выполнения эксплойта проверяют наличие признаков направленности эксплойта на нарушение доступности g-го структурного элемента автоматизированной системы, в случае отсутствия признаков направленности переходят к проверке наличия признака незавершенности измерения значений контролируемых параметров g-й группы в массиве D, а при наличии признаков направленности эксплойта на нарушение доступности g-го структурного элемента автоматизированной системы определяют фактическое s₁ состояние процесса функционирования g-го структурного элемента автоматизированной систем, считывают исходное s₀ состояния процесса функционирования g-го структурного элемента автоматизированной системы из массива S, сравнивают фактическое s₁ состояние процесса функционирования g-го структурного элемента автоматизированной системы с исходным s₀, в случае s₁≠s₀ присваивают значению исходного s₀ состояния значение фактического s₁ состояния процесса функционирования g-го структурного элемента автоматизированной системы, запоминают исходное s₀ состояние процесса функционирования g-го структурного элемента автоматизированной системы в массиве S и переходят к проверке наличия признака незавершенности измерения значений контролируемых параметров g-й группы в массиве D, а при s₁=s₀ останавливают выполнение эксплойта, очищают массив S и переходят к проверке достижения цели выполнения эксплойта, а после проверки доступности g-го структурного элемента автоматизированной системы для измерения значений контролируемых параметров и в случае его доступности считывают множество {е₁, е₂, …, e_n} эксплойтов из массива Е_ехр, формируют i-й набор E_i эксплойтов, запоминают i-й набор E_i эксплойтов в массиве W, конфигурируют массив W и переходят к корректировке значения временного интервала измерений значений контролируемых параметров по формуле