33633

Построение модели систем защиты на базе Е-сетей на основе выделенного набора правил фильтрации

Доклад

Информатика, кибернетика и программирование

2 Переходы: d3 = XEâ€r3 p1 p2 p3 t3 установление соединения проверка пароля и имени пользователя для доступа к внутренней сети подсети; d4 = XEâ€r4 p2 p4 р5 0 подсчет попыток ввода пароля и имени; d5 = Tp4 p6 0 вывод сообщения о неверном вводе пароля и имени; d6 = Tp1 p6 0 передача пакета для повторной аутентификации и идентификации; d7 = Tp5 p7 t4 создание соответствующей записи в журнале учета и регистрации. 3 Решающие позиции: r3 проверка пароля и имени пользователя; r4 ...

Русский

2013-09-06

78 KB

2 чел.

52. Построение модели систем защиты на базе Е-сетей на основе выделенного набора правил фильтрации

В связи с этим используется аппарат с более мощными моделирующими возможностями, которыми является одно из расширений сетей Петри - Е-сети. Такая модель позволяет реализовать множество параллельных информационных процессов. Эта графическая модель в сочетании с логическими правилами изменения состояния (разрешающие позиции) Е-сетей, позволяющими воспроизвести динамику функционирования информационной системы, представляет собой математическую модель имитационного типа .

Структурно Е-сеть представляет собой граф, состоящий из двух типов вершин: позиций и переходов, соединенных друг с другом ориентированными дугами, причем каждая дуга может связывать лишь позицию с переходом или, наоборот, переход с позицией.

В Е-сетях имеется несколько типов позиций, каждая позиция может инцидентна не более чем двум дугам (входящей и исходящей); фишки (или объекты), являющиеся динамическими элементами сети, могут обладать набором признаков, или атрибутов. Кроме того, Е-сети с каждым переходом можно ассоциировать ненулевую временную задержку и процедуру преобразования атрибуту фишек.

в Е-сетях существуют решающие позиции, которые играют управляющую роль и позволяют организовать условные ветвления и условную селективную выборку перемещающихся фишек.

В Е-сетях существуют следующие позиции: простые (одноместные), позиции-очереди (многоместные) и разрешающие.

Важной особенностью Е-сетей  является детализация представления меток. С каждой меткой в Е-сети связаны n описателей.

11.2. Формирование и формализация модели системы безопасности базе модифицированных Е-сетей.

Агент аутентификации и идентификации может быть представлен следующим образом (рис. 11.1.):

Рис. 11.1. Реализация агента аутентификации и идентификации на базе Е-сетей

где: 1) Позиции: р1 - пакет выбран из очереди и передан для проверки доступа к данной сети (подсети);  р2 - пароль и (или) имя пользователя введено неверно; р3 - пароль и имя пользователя введены верно; р4 - сумма попыток ввода пароля и имени <3; р5 - сумма попыток ввода пароля и имени = 3; р6 - выдано сообщение о неверном вводе пароля и (или) имени; р7 – соответствующая запись в журнале учета выполнена.

2) Переходы: d3 = (XE”(r3, p1, p2, p3), t3, -) - установление соединения, проверка пароля и имени пользователя для доступа к внутренней сети (подсети); d4 = (XE”(r4, p2, p4, р5), 0, -) - подсчет попыток ввода пароля и имени; d5 = (T(p4, p6), 0, -) - вывод сообщения о неверном вводе пароля и имени; d6 = (T(p1, p6), 0, -) – передача пакета для повторной аутентификации и идентификации; d7 = (T(p5, p7), t4, -) - создание соответствующей записи в журнале учета и регистрации.

3) Решающие позиции: r3 - проверка пароля и имени пользователя; r4 - подсчет попыток ввода пароля.

4) Множество процедур решающих позиций:

3 (r3) = r3: ( p2 = 1 M(r3): = 1;

    p3 = 2 M(r3): = 2);

4 (r4) = r4: ( p4 = 1 M(r4): = 1

   p5 = 2 M(r4): = 2);

Агент разграничения доступа будет осуществлять следующие задачи:

т.к. не все пользователи могут иметь доступ к ресурсам другой подсети, то на первом этапе будет выполнение проверка по IP-адрес или номер порта или и то и другое отправителя кадра,

т.к.  не ко всем ресурсам одной подсети может существовать доступ от пользователя другой сети, то на втором этапе будет выполнена проверка по IP-адрес или номер порта или и то и другое получателя кадра,

т.к. конкретному пользователю может быть запрещен доступ к конкретному ресурсу, то на третьем этапе выполняется проверка возможности доступа конкретного пользователя к конкретному ресурсу.

Тогда работу агента разграничения доступа в нашем случае можно промоделировать следующим образом рис. 11.2.:

Рис. 11.2. Реализация агента разграничения доступа на базе Е-сетей 

Где: 1) Позиции: р3 – пакет передан для дальнейшей проверки; р8 - нет IP-адреса отправителя в маршрутной таблице; р9 - есть IP-адрес отправителя в маршрутной таблице; р10 - нет номера порта отправителя в маршрутной таблице; р11 - есть номер порта отправителя в маршрутной таблице; р12 - нет IP-адреса получателя в маршрутной таблице; р13 - есть IP-адрес получателя в маршрутной таблице; р14 - нет номера порта получателя в маршрутной таблице; р15 - есть номер порта получателя в маршрутной таблице; р16 - данному субъекту первой подсети не разрешен доступ к данному объекту другой подсети; р17 - данному субъекту первой подсети разрешен доступ к данному объекту другой подсети; р7 – соответствующая запись в журнале учета выполнена.

2) Переходы: d7 = (T(p7, p8, p10, p12, p14, p16), t4, -) -  создание соответствующей записи в журнале учета и регистрации;  d8 = (XE”(r5, p3, p8, p9), t5, -) – проверка пакета на наличие IP-адреса отправителя в маршрутной таблице; d9 = (XE”(r6, p9, p10, p11), t6, -) – проверка пакета на наличие номера порта отправителя в маршрутной таблице; d10 = (XE”(r7, p11, p12, p13), t7, -) – проверка пакета на наличие IP-адреса получателя в маршрутной таблице; d11 = (XE”(r8, p13, p14, p15), t8, -) – проверка пакета на наличие номера порта получателя в маршрутной таблице; d12 = (XE”(r9, p15, p16, p17), t9, -) – проверка на разрешение доступа данного субъекта к данному объекту.

3) Решающие позиции: r5 – проверка наличия IP-адреса отправителя в маршрутной таблице; r6 – проверка наличия номера порта отправителя в маршрутной таблице; r7 – проверка пакета на наличие IP-адреса получателя в маршрутной таблице; r8 – проверка пакета на наличие номера порта получателя в маршрутной таблице; r9 - проверка на разрешение доступа данного субъекта к данному объекту.

Функции моделей агента разграничения доступа и агента фильтрации частично пересекаются, поэтому объединим в единый блок. Такая модель очень сложно как для реализации, так и для проверки. Поэтому для упрощения в данной работе предлагается ввести новый макро-переход – N-переход (рис. 11.3).

Макропереход срабатывает, если m (x, y+1, …, y+, …, y+, …, y+q, , ) = (1, 0, …, 0, …,0, …, 0, , ). Отличительной особенностью данного перехода является то, что метка из места x в зависимости от  функции срабатывания перехода (Z) может перейти или в место y+ или в место y+ и y+ (см. рис.). Z – функции срабатывания перехода, Z = r1 r2 rn, где rn = . При наличии условий срабатывания макроперехода N (m(x)=1 и управляющие сигналы из внешней среды равны единице) в месте rn выполняется срабатывание перехода по функции Z, которая переводит его из неопределенного состояния в определенное «0» или «1».

Рис. 11.3. Макро-переход N-типа.

Рис. 11.4. Реализация блока фильтрации на базе модифицированных Е-сетей

В нашем случае пакет по результатам проверки или передается дальше (если все значения r – истина, т.е. функция срабатывания Z = r1 r2 r3 r4 r5 r6 r7 r8 r9 r10) или уничтожается (если хотя бы одно из значений r – ложь). Тогда модель блока фильтрации реализуем следующим образом (рис 11.4.):

На рис 12.4. 1) Позиции: р3 – пакет передан для дальнейшей проверки; р7 –соответствующая запись в журнале учета выполнена; р8 –пакет не удовлетворяет какому-либо из критериев фильтрации; p9 – пакет удовлетворяет всем критериям фильтрации.

2) Переходы: d7 = (T(p7, р8), t4, -) – создание соответствующей записи в журнале учета и регистрации; d8 = (N(r5, r6, r7, r8, r9, r10, r11, r12, r13, r14, p3), t5, -) – проверка пакета, d10 = (T(p9, А2), t6, -) – пакет передан на выход системы.3) Решающие позиции: r5 – проверка наличия IP-адреса отправителя в маршрутной таблице; r6 – проверка наличия номера порта отправителя в маршрутной таблице; r7 – проверка пакета на наличие IP-адреса получателя в маршрутной таблице; r8 – проверка пакета на наличие номера порта получателя в маршрутной таблице; r9 - проверка на разрешение доступа данного субъекта к данному объекту; r10 – проверка типа данных; r11 – проверка стоимости данных; r12 – проверка уровня секретности данных; r13 – проверка пакета на наличие ошибок; r14 – проверка TTL-поля.

3) Макропозиции поглощения меток: А2 - пакет передан на выход системы.

Агент регистрации событий может быть промоделирован следующим образом:

Рис. 11.5. Реализация агента регистрации событий на базе Е-сетей 

Где: 1) Позиции: р5 – сумма попыток ввода пароля и имени = 3; р7 –соответствующая запись в журнале учета выполнена; р8 – пакет не удовлетворяет какому-либо из критериев фильтрации.

2) Переходы: d7 = (J(р5, р8, р7)) – создание соответствующей записи в журнале учета и регистрации; d9 = (Т(р7, А1), 0, -) – уничтожение пакета.

3) Макропозиции поглощения меток: А - пакет уничтожен.


d7

p7

d6

d5

р3

2

d4

r3

р1

d3

r4

p5

p4

p6

A       N

p17

p15

p16

d12

r9

p12

d10

d9

r7

r6

p11

p10

d7

p3

r5

p9

p8

d8

d11

r8

p13

p14

p7

r1

r2

rn

x

. . .

y+1

y+2

y+

. . .

d

. . .

. . .

y+

y+q

r5

r6

r7

p3

p8

r8

r9

r10

r11

r12

r13

r14

d8

p7

d7

p9

d10

A2

A       N

p8

d9

A1

p7

d7

p5


 

А также другие работы, которые могут Вас заинтересовать

7965. Поняття людина і основні теорії її походження 56.5 KB
  Тема уроку: Поняття людина і основні теорії її походження. Мета уроку: Зясувати підстави для використання визначення Людина і його сутність визначити особливості основних тлумачень походження людини, розкрити роль середовища і спадковос...
7966. Честь, совість, гідність людини. Інтелігентність і порядність 55.5 KB
  Честь, совість, гідність людини. Інтелігентність і порядність Мета: Розглянути співвідношення понять честь, совість, гідність людини, інтелігентність і порядність розвивати вміння критично аналізувати різні точки зору на певну проблему виховувати ...
7967. Історія України з найдавніших часів до XV ст 56.5 KB
  Тема уроку. Історія України з найдавніших часів до XV ст. Мета: Визначити, який період історії України вивчатиметься цього навчального року ознайомити учнів зі структурою і методичним апаратом підручника як передумовою їхньої подальшої успішної роб...
7968. Давня історія України 58 KB
  Тема уроку:Давня історія України. Мета уроку: Визначити особливості перших поселень на території сучасної України розвивати вміння учнів отримувати знання, використовуючи різні джерела інформації виховувати в ліцеїстів почуття патріотизму. Тип уро...
7969. Витоки Київської Русі 29.32 KB
  Тема Витоки Київської Русі. Мета уроку: Охарактеризувати виникнення Київської русі та ранню історію його існування розвивати здібність аналізу та обґрунтуванню фактичного матеріалу ПІДНЕСЕННЯ Й ЗАНЕПАД КИЇВСЬКОЇ РУСІ Перебуваючи в тіні дивовижних ...
7970. Правова поведінка правопорушення і юридична відповідальність 84.5 KB
  Тема 3. Правова поведінка правопорушення і юридична відповідальність Мета заняття.Ознайомити студентів із поняттями законність, правопорядок, правомірна поведінка, правопорушення, юридична відповідальність їх ознаками та видами. Охарактеризува...
7971. Поняття дух, душа, духовність. Співвідношення духовного і тілесного 49.5 KB
  Поняття дух, душа, духовність. Співвідношення духовного і тілесного. Мета: Розглянути співвідношення понять дух, душа, духовність, співвідношення духовного і тілесного, розвивати вміння критично аналізувати різні точки зору на певну проблему ...
7973. Історія педагогіки. Навчальний посібник 1.21 MB
  Історія педагогіки У навчальному посібнику для студентів, магістрів, аспірантів розкриті основні розділи з курсу Історія педагогіки. У систематизованому вигляді представлені питання, пов’язані з розвитком світової педагогічної думки, починаюч...