33633

Построение модели систем защиты на базе Е-сетей на основе выделенного набора правил фильтрации

Доклад

Информатика, кибернетика и программирование

2 Переходы: d3 = XEâ€r3 p1 p2 p3 t3 установление соединения проверка пароля и имени пользователя для доступа к внутренней сети подсети; d4 = XEâ€r4 p2 p4 р5 0 подсчет попыток ввода пароля и имени; d5 = Tp4 p6 0 вывод сообщения о неверном вводе пароля и имени; d6 = Tp1 p6 0 передача пакета для повторной аутентификации и идентификации; d7 = Tp5 p7 t4 создание соответствующей записи в журнале учета и регистрации. 3 Решающие позиции: r3 проверка пароля и имени пользователя; r4 ...

Русский

2013-09-06

78 KB

2 чел.

52. Построение модели систем защиты на базе Е-сетей на основе выделенного набора правил фильтрации

В связи с этим используется аппарат с более мощными моделирующими возможностями, которыми является одно из расширений сетей Петри - Е-сети. Такая модель позволяет реализовать множество параллельных информационных процессов. Эта графическая модель в сочетании с логическими правилами изменения состояния (разрешающие позиции) Е-сетей, позволяющими воспроизвести динамику функционирования информационной системы, представляет собой математическую модель имитационного типа .

Структурно Е-сеть представляет собой граф, состоящий из двух типов вершин: позиций и переходов, соединенных друг с другом ориентированными дугами, причем каждая дуга может связывать лишь позицию с переходом или, наоборот, переход с позицией.

В Е-сетях имеется несколько типов позиций, каждая позиция может инцидентна не более чем двум дугам (входящей и исходящей); фишки (или объекты), являющиеся динамическими элементами сети, могут обладать набором признаков, или атрибутов. Кроме того, Е-сети с каждым переходом можно ассоциировать ненулевую временную задержку и процедуру преобразования атрибуту фишек.

в Е-сетях существуют решающие позиции, которые играют управляющую роль и позволяют организовать условные ветвления и условную селективную выборку перемещающихся фишек.

В Е-сетях существуют следующие позиции: простые (одноместные), позиции-очереди (многоместные) и разрешающие.

Важной особенностью Е-сетей  является детализация представления меток. С каждой меткой в Е-сети связаны n описателей.

11.2. Формирование и формализация модели системы безопасности базе модифицированных Е-сетей.

Агент аутентификации и идентификации может быть представлен следующим образом (рис. 11.1.):

Рис. 11.1. Реализация агента аутентификации и идентификации на базе Е-сетей

где: 1) Позиции: р1 - пакет выбран из очереди и передан для проверки доступа к данной сети (подсети);  р2 - пароль и (или) имя пользователя введено неверно; р3 - пароль и имя пользователя введены верно; р4 - сумма попыток ввода пароля и имени <3; р5 - сумма попыток ввода пароля и имени = 3; р6 - выдано сообщение о неверном вводе пароля и (или) имени; р7 – соответствующая запись в журнале учета выполнена.

2) Переходы: d3 = (XE”(r3, p1, p2, p3), t3, -) - установление соединения, проверка пароля и имени пользователя для доступа к внутренней сети (подсети); d4 = (XE”(r4, p2, p4, р5), 0, -) - подсчет попыток ввода пароля и имени; d5 = (T(p4, p6), 0, -) - вывод сообщения о неверном вводе пароля и имени; d6 = (T(p1, p6), 0, -) – передача пакета для повторной аутентификации и идентификации; d7 = (T(p5, p7), t4, -) - создание соответствующей записи в журнале учета и регистрации.

3) Решающие позиции: r3 - проверка пароля и имени пользователя; r4 - подсчет попыток ввода пароля.

4) Множество процедур решающих позиций:

3 (r3) = r3: ( p2 = 1 M(r3): = 1;

    p3 = 2 M(r3): = 2);

4 (r4) = r4: ( p4 = 1 M(r4): = 1

   p5 = 2 M(r4): = 2);

Агент разграничения доступа будет осуществлять следующие задачи:

т.к. не все пользователи могут иметь доступ к ресурсам другой подсети, то на первом этапе будет выполнение проверка по IP-адрес или номер порта или и то и другое отправителя кадра,

т.к.  не ко всем ресурсам одной подсети может существовать доступ от пользователя другой сети, то на втором этапе будет выполнена проверка по IP-адрес или номер порта или и то и другое получателя кадра,

т.к. конкретному пользователю может быть запрещен доступ к конкретному ресурсу, то на третьем этапе выполняется проверка возможности доступа конкретного пользователя к конкретному ресурсу.

Тогда работу агента разграничения доступа в нашем случае можно промоделировать следующим образом рис. 11.2.:

Рис. 11.2. Реализация агента разграничения доступа на базе Е-сетей 

Где: 1) Позиции: р3 – пакет передан для дальнейшей проверки; р8 - нет IP-адреса отправителя в маршрутной таблице; р9 - есть IP-адрес отправителя в маршрутной таблице; р10 - нет номера порта отправителя в маршрутной таблице; р11 - есть номер порта отправителя в маршрутной таблице; р12 - нет IP-адреса получателя в маршрутной таблице; р13 - есть IP-адрес получателя в маршрутной таблице; р14 - нет номера порта получателя в маршрутной таблице; р15 - есть номер порта получателя в маршрутной таблице; р16 - данному субъекту первой подсети не разрешен доступ к данному объекту другой подсети; р17 - данному субъекту первой подсети разрешен доступ к данному объекту другой подсети; р7 – соответствующая запись в журнале учета выполнена.

2) Переходы: d7 = (T(p7, p8, p10, p12, p14, p16), t4, -) -  создание соответствующей записи в журнале учета и регистрации;  d8 = (XE”(r5, p3, p8, p9), t5, -) – проверка пакета на наличие IP-адреса отправителя в маршрутной таблице; d9 = (XE”(r6, p9, p10, p11), t6, -) – проверка пакета на наличие номера порта отправителя в маршрутной таблице; d10 = (XE”(r7, p11, p12, p13), t7, -) – проверка пакета на наличие IP-адреса получателя в маршрутной таблице; d11 = (XE”(r8, p13, p14, p15), t8, -) – проверка пакета на наличие номера порта получателя в маршрутной таблице; d12 = (XE”(r9, p15, p16, p17), t9, -) – проверка на разрешение доступа данного субъекта к данному объекту.

3) Решающие позиции: r5 – проверка наличия IP-адреса отправителя в маршрутной таблице; r6 – проверка наличия номера порта отправителя в маршрутной таблице; r7 – проверка пакета на наличие IP-адреса получателя в маршрутной таблице; r8 – проверка пакета на наличие номера порта получателя в маршрутной таблице; r9 - проверка на разрешение доступа данного субъекта к данному объекту.

Функции моделей агента разграничения доступа и агента фильтрации частично пересекаются, поэтому объединим в единый блок. Такая модель очень сложно как для реализации, так и для проверки. Поэтому для упрощения в данной работе предлагается ввести новый макро-переход – N-переход (рис. 11.3).

Макропереход срабатывает, если m (x, y+1, …, y+, …, y+, …, y+q, , ) = (1, 0, …, 0, …,0, …, 0, , ). Отличительной особенностью данного перехода является то, что метка из места x в зависимости от  функции срабатывания перехода (Z) может перейти или в место y+ или в место y+ и y+ (см. рис.). Z – функции срабатывания перехода, Z = r1 r2 rn, где rn = . При наличии условий срабатывания макроперехода N (m(x)=1 и управляющие сигналы из внешней среды равны единице) в месте rn выполняется срабатывание перехода по функции Z, которая переводит его из неопределенного состояния в определенное «0» или «1».

Рис. 11.3. Макро-переход N-типа.

Рис. 11.4. Реализация блока фильтрации на базе модифицированных Е-сетей

В нашем случае пакет по результатам проверки или передается дальше (если все значения r – истина, т.е. функция срабатывания Z = r1 r2 r3 r4 r5 r6 r7 r8 r9 r10) или уничтожается (если хотя бы одно из значений r – ложь). Тогда модель блока фильтрации реализуем следующим образом (рис 11.4.):

На рис 12.4. 1) Позиции: р3 – пакет передан для дальнейшей проверки; р7 –соответствующая запись в журнале учета выполнена; р8 –пакет не удовлетворяет какому-либо из критериев фильтрации; p9 – пакет удовлетворяет всем критериям фильтрации.

2) Переходы: d7 = (T(p7, р8), t4, -) – создание соответствующей записи в журнале учета и регистрации; d8 = (N(r5, r6, r7, r8, r9, r10, r11, r12, r13, r14, p3), t5, -) – проверка пакета, d10 = (T(p9, А2), t6, -) – пакет передан на выход системы.3) Решающие позиции: r5 – проверка наличия IP-адреса отправителя в маршрутной таблице; r6 – проверка наличия номера порта отправителя в маршрутной таблице; r7 – проверка пакета на наличие IP-адреса получателя в маршрутной таблице; r8 – проверка пакета на наличие номера порта получателя в маршрутной таблице; r9 - проверка на разрешение доступа данного субъекта к данному объекту; r10 – проверка типа данных; r11 – проверка стоимости данных; r12 – проверка уровня секретности данных; r13 – проверка пакета на наличие ошибок; r14 – проверка TTL-поля.

3) Макропозиции поглощения меток: А2 - пакет передан на выход системы.

Агент регистрации событий может быть промоделирован следующим образом:

Рис. 11.5. Реализация агента регистрации событий на базе Е-сетей 

Где: 1) Позиции: р5 – сумма попыток ввода пароля и имени = 3; р7 –соответствующая запись в журнале учета выполнена; р8 – пакет не удовлетворяет какому-либо из критериев фильтрации.

2) Переходы: d7 = (J(р5, р8, р7)) – создание соответствующей записи в журнале учета и регистрации; d9 = (Т(р7, А1), 0, -) – уничтожение пакета.

3) Макропозиции поглощения меток: А - пакет уничтожен.


d7

p7

d6

d5

р3

2

d4

r3

р1

d3

r4

p5

p4

p6

A       N

p17

p15

p16

d12

r9

p12

d10

d9

r7

r6

p11

p10

d7

p3

r5

p9

p8

d8

d11

r8

p13

p14

p7

r1

r2

rn

x

. . .

y+1

y+2

y+

. . .

d

. . .

. . .

y+

y+q

r5

r6

r7

p3

p8

r8

r9

r10

r11

r12

r13

r14

d8

p7

d7

p9

d10

A2

A       N

p8

d9

A1

p7

d7

p5


 

А также другие работы, которые могут Вас заинтересовать

25836. Сплавы цветных металлов, обрабатываемые давлением 319.5 KB
  К цветным металлам и сплавам относятся практически все металлы и сплавы, за исключением железа и его сплавов, образующих группу чёрных металлов. Цветные металлы встречаются реже, чем железо и часто их добыча стоит значительно дороже, чем добыча железа. Однако цветные металлы часто обладают такими свойствами, какие у железа не обнаруживаются, и это оправдывает их применение.
25837. Аудит операций на расчетном, валютном и других счетах банка 37.5 KB
  Целью аудиторской проверки операций по расчетному валютному и других счетам в банке является формирование мнения о достоверности бухгалтерской отчетности по разделу Денежные средства и соответствии применяемой методики учета денежных средств на счетах в банке действующим в Российской Федерации нормативным документам. Аудитор при проверке операций по счетам в банке должен учитывать основные нормативные документы регулирующие порядок проведения операций на расчетном валютном и других счетах в банках и бухгалтерский учет этих операций....
25838. Аудит прочих доходов и расходов 58.5 KB
  Целью аудиторской проверки прочих доходов и расходов является формирование мнения о правильности учета прочих доходов и расходов. Задача аудиторской проверки прочих доходов и расходов состоит из следующих вопросов на которые должен ответить аудитор: Бухгалтерский учет прочих доходов и расходов соответствует положениям нормативных актов Данные аналитического и синтетического учета по счету 91 Прочие доходы и расходы соответствуют данным главной книги и баланса Корреспонденция счетов по счету 91 Прочие доходы и расходы составлена в...
25839. Учет расчетов по авансам выданным и полученным 36.5 KB
  Согласно положениям Плана счетов Инструкции по применению Плана счетов бухгалтерский учет сумм полученных и или выданных авансов организуется на балансовых счетах связанных с расчетами за отгруженную продукцию выполненные работы оказанные услуги. Для учета сумм авансовых платежей предварительной оплаты к балансовым счетам открываются обособленные субсчета учета. В частности суммы выданных поставщикам и подрядчикам авансов учитываются обособленно на балансовом счете 60 Расчеты с поставщиками и подрядчиками суммы полученных...
25840. Аудит расчетов по авансам выданным 27.5 KB
  Так например выдавая авансы поставщику предприятие изымает из оборота денежные средства до момента поступления ТМЦ выполнения работ оказания услуг также возрастает вероятность непоступления данных ценностей на предприятие вопреки договору поставки. На счете 61 €œРасчеты по авансам выданным€ обобщается информация о расчетах по выданным авансам под поставку продукции либо под выполнение работ а также по оплате продукции и работ принятых от заказчиков по частичной готовности. Суммы выданных авансов а также произведенной оплаты и работ...
25841. Аудит расчетов по претензиям 30 KB
  Можно выделить несколько видов претензий: при выявлении ошибок в счетах поставщиков неправильно указаны тарифы и цены арифметические ошибки и др. Аудитору необходимо проверить: обоснованность своевременность и правильность оформления документов несоблюдение сроков предъявления претензий может быть использовано для сокрытия фактов хищения материальных ценностей так как при отказе в удовлетворении претензий числящиеся суммы списываются на издержки производства; обоснованность претензий предъявляемых к проверяемому предприятию в случае...
25842. Аудит расчетов по совместной деятельности 32.5 KB
  Внесенное товарищами имущество а также произведенная в результате совместной деятельности продукция и полученные от такой деятельности плоды признаются как правило их общей долевой собственностью. Прибыль полученная товарищами в результате их совместной деятельности распределяется пропорционально стоимости вкладов в общее дело если иное не предусмотрено договором или другим соглашением товарищей. Исходя из описанного подхода к организации деятельности простого товарищества в новом Плане счетов поиному решена схема учета операций...
25843. Структура и свойства сталей и чугунов 74 KB
  В углеродистых сталях углерод является основным элементом, определяющим структуру и свойства стали. С увеличением содержания углерода в стали возрастают твердость и предел прочности (НВ, ств), уменьшаются относительное удлинение, относительное сужение и ударная вязкость.
25844. Аудит расчетов с зависимыми (дочерними) обществами 29 KB
  ; организован ли бухгалтерский учет совместной деятельности у одного из участников по доверенности сторон раздельно от его собственного учета раздельный учет раздельный баланс; правильность отражения в учете операций по совместной деятельности; правильность отражения в учете разницы между договорной и балансовой стоимостью имущества переданного в совместную деятельность; правильность распределения прибыли и начислений а также уплаты налогов по результатам совместной деятельности. Проверяя учет внутрихозяйственных расчетов счет 79...