33633

Построение модели систем защиты на базе Е-сетей на основе выделенного набора правил фильтрации

Доклад

Информатика, кибернетика и программирование

2 Переходы: d3 = XEâ€r3 p1 p2 p3 t3 установление соединения проверка пароля и имени пользователя для доступа к внутренней сети подсети; d4 = XEâ€r4 p2 p4 р5 0 подсчет попыток ввода пароля и имени; d5 = Tp4 p6 0 вывод сообщения о неверном вводе пароля и имени; d6 = Tp1 p6 0 – передача пакета для повторной аутентификации и идентификации; d7 = Tp5 p7 t4 создание соответствующей записи в журнале учета и регистрации. 3 Решающие позиции: r3 проверка пароля и имени пользователя; r4 ...

Русский

2013-09-06

78 KB

2 чел.

52. Построение модели систем защиты на базе Е-сетей на основе выделенного набора правил фильтрации

В связи с этим используется аппарат с более мощными моделирующими возможностями, которыми является одно из расширений сетей Петри - Е-сети. Такая модель позволяет реализовать множество параллельных информационных процессов. Эта графическая модель в сочетании с логическими правилами изменения состояния (разрешающие позиции) Е-сетей, позволяющими воспроизвести динамику функционирования информационной системы, представляет собой математическую модель имитационного типа .

Структурно Е-сеть представляет собой граф, состоящий из двух типов вершин: позиций и переходов, соединенных друг с другом ориентированными дугами, причем каждая дуга может связывать лишь позицию с переходом или, наоборот, переход с позицией.

В Е-сетях имеется несколько типов позиций, каждая позиция может инцидентна не более чем двум дугам (входящей и исходящей); фишки (или объекты), являющиеся динамическими элементами сети, могут обладать набором признаков, или атрибутов. Кроме того, Е-сети с каждым переходом можно ассоциировать ненулевую временную задержку и процедуру преобразования атрибуту фишек.

в Е-сетях существуют решающие позиции, которые играют управляющую роль и позволяют организовать условные ветвления и условную селективную выборку перемещающихся фишек.

В Е-сетях существуют следующие позиции: простые (одноместные), позиции-очереди (многоместные) и разрешающие.

Важной особенностью Е-сетей  является детализация представления меток. С каждой меткой в Е-сети связаны n описателей.

11.2. Формирование и формализация модели системы безопасности базе модифицированных Е-сетей.

Агент аутентификации и идентификации может быть представлен следующим образом (рис. 11.1.):

Рис. 11.1. Реализация агента аутентификации и идентификации на базе Е-сетей

где: 1) Позиции: р1 - пакет выбран из очереди и передан для проверки доступа к данной сети (подсети);  р2 - пароль и (или) имя пользователя введено неверно; р3 - пароль и имя пользователя введены верно; р4 - сумма попыток ввода пароля и имени <3; р5 - сумма попыток ввода пароля и имени = 3; р6 - выдано сообщение о неверном вводе пароля и (или) имени; р7 – соответствующая запись в журнале учета выполнена.

2) Переходы: d3 = (XE”(r3, p1, p2, p3), t3, -) - установление соединения, проверка пароля и имени пользователя для доступа к внутренней сети (подсети); d4 = (XE”(r4, p2, p4, р5), 0, -) - подсчет попыток ввода пароля и имени; d5 = (T(p4, p6), 0, -) - вывод сообщения о неверном вводе пароля и имени; d6 = (T(p1, p6), 0, -) – передача пакета для повторной аутентификации и идентификации; d7 = (T(p5, p7), t4, -) - создание соответствующей записи в журнале учета и регистрации.

3) Решающие позиции: r3 - проверка пароля и имени пользователя; r4 - подсчет попыток ввода пароля.

4) Множество процедур решающих позиций:

3 (r3) = r3: ( p2 = 1 M(r3): = 1;

    p3 = 2 M(r3): = 2);

4 (r4) = r4: ( p4 = 1 M(r4): = 1

   p5 = 2 M(r4): = 2);

Агент разграничения доступа будет осуществлять следующие задачи:

т.к. не все пользователи могут иметь доступ к ресурсам другой подсети, то на первом этапе будет выполнение проверка по IP-адрес или номер порта или и то и другое отправителя кадра,

т.к.  не ко всем ресурсам одной подсети может существовать доступ от пользователя другой сети, то на втором этапе будет выполнена проверка по IP-адрес или номер порта или и то и другое получателя кадра,

т.к. конкретному пользователю может быть запрещен доступ к конкретному ресурсу, то на третьем этапе выполняется проверка возможности доступа конкретного пользователя к конкретному ресурсу.

Тогда работу агента разграничения доступа в нашем случае можно промоделировать следующим образом рис. 11.2.:

Рис. 11.2. Реализация агента разграничения доступа на базе Е-сетей 

Где: 1) Позиции: р3 – пакет передан для дальнейшей проверки; р8 - нет IP-адреса отправителя в маршрутной таблице; р9 - есть IP-адрес отправителя в маршрутной таблице; р10 - нет номера порта отправителя в маршрутной таблице; р11 - есть номер порта отправителя в маршрутной таблице; р12 - нет IP-адреса получателя в маршрутной таблице; р13 - есть IP-адрес получателя в маршрутной таблице; р14 - нет номера порта получателя в маршрутной таблице; р15 - есть номер порта получателя в маршрутной таблице; р16 - данному субъекту первой подсети не разрешен доступ к данному объекту другой подсети; р17 - данному субъекту первой подсети разрешен доступ к данному объекту другой подсети; р7 – соответствующая запись в журнале учета выполнена.

2) Переходы: d7 = (T(p7, p8, p10, p12, p14, p16), t4, -) -  создание соответствующей записи в журнале учета и регистрации;  d8 = (XE”(r5, p3, p8, p9), t5, -) – проверка пакета на наличие IP-адреса отправителя в маршрутной таблице; d9 = (XE”(r6, p9, p10, p11), t6, -) – проверка пакета на наличие номера порта отправителя в маршрутной таблице; d10 = (XE”(r7, p11, p12, p13), t7, -) – проверка пакета на наличие IP-адреса получателя в маршрутной таблице; d11 = (XE”(r8, p13, p14, p15), t8, -) – проверка пакета на наличие номера порта получателя в маршрутной таблице; d12 = (XE”(r9, p15, p16, p17), t9, -) – проверка на разрешение доступа данного субъекта к данному объекту.

3) Решающие позиции: r5 – проверка наличия IP-адреса отправителя в маршрутной таблице; r6 – проверка наличия номера порта отправителя в маршрутной таблице; r7 – проверка пакета на наличие IP-адреса получателя в маршрутной таблице; r8 – проверка пакета на наличие номера порта получателя в маршрутной таблице; r9 - проверка на разрешение доступа данного субъекта к данному объекту.

Функции моделей агента разграничения доступа и агента фильтрации частично пересекаются, поэтому объединим в единый блок. Такая модель очень сложно как для реализации, так и для проверки. Поэтому для упрощения в данной работе предлагается ввести новый макро-переход – N-переход (рис. 11.3).

Макропереход срабатывает, если m (x, y+1, …, y+, …, y+, …, y+q, , ) = (1, 0, …, 0, …,0, …, 0, , ). Отличительной особенностью данного перехода является то, что метка из места x в зависимости от  функции срабатывания перехода (Z) может перейти или в место y+ или в место y+ и y+ (см. рис.). Z – функции срабатывания перехода, Z = r1 r2 rn, где rn = . При наличии условий срабатывания макроперехода N (m(x)=1 и управляющие сигналы из внешней среды равны единице) в месте rn выполняется срабатывание перехода по функции Z, которая переводит его из неопределенного состояния в определенное «0» или «1».

Рис. 11.3. Макро-переход N-типа.

Рис. 11.4. Реализация блока фильтрации на базе модифицированных Е-сетей

В нашем случае пакет по результатам проверки или передается дальше (если все значения r – истина, т.е. функция срабатывания Z = r1 r2 r3 r4 r5 r6 r7 r8 r9 r10) или уничтожается (если хотя бы одно из значений r – ложь). Тогда модель блока фильтрации реализуем следующим образом (рис 11.4.):

На рис 12.4. 1) Позиции: р3 – пакет передан для дальнейшей проверки; р7 –соответствующая запись в журнале учета выполнена; р8 –пакет не удовлетворяет какому-либо из критериев фильтрации; p9 – пакет удовлетворяет всем критериям фильтрации.

2) Переходы: d7 = (T(p7, р8), t4, -) – создание соответствующей записи в журнале учета и регистрации; d8 = (N(r5, r6, r7, r8, r9, r10, r11, r12, r13, r14, p3), t5, -) – проверка пакета, d10 = (T(p9, А2), t6, -) – пакет передан на выход системы.3) Решающие позиции: r5 – проверка наличия IP-адреса отправителя в маршрутной таблице; r6 – проверка наличия номера порта отправителя в маршрутной таблице; r7 – проверка пакета на наличие IP-адреса получателя в маршрутной таблице; r8 – проверка пакета на наличие номера порта получателя в маршрутной таблице; r9 - проверка на разрешение доступа данного субъекта к данному объекту; r10 – проверка типа данных; r11 – проверка стоимости данных; r12 – проверка уровня секретности данных; r13 – проверка пакета на наличие ошибок; r14 – проверка TTL-поля.

3) Макропозиции поглощения меток: А2 - пакет передан на выход системы.

Агент регистрации событий может быть промоделирован следующим образом:

Рис. 11.5. Реализация агента регистрации событий на базе Е-сетей 

Где: 1) Позиции: р5 – сумма попыток ввода пароля и имени = 3; р7 –соответствующая запись в журнале учета выполнена; р8 – пакет не удовлетворяет какому-либо из критериев фильтрации.

2) Переходы: d7 = (J(р5, р8, р7)) – создание соответствующей записи в журнале учета и регистрации; d9 = (Т(р7, А1), 0, -) – уничтожение пакета.

3) Макропозиции поглощения меток: А - пакет уничтожен.


d7

p7

d6

d5

р3

2

d4

r3

р1

d3

r4

p5

p4

p6

A       N

p17

p15

p16

d12

r9

p12

d10

d9

r7

r6

p11

p10

d7

p3

r5

p9

p8

d8

d11

r8

p13

p14

p7

r1

r2

rn

x

. . .

y+1

y+2

y+

. . .

d

. . .

. . .

y+

y+q

r5

r6

r7

p3

p8

r8

r9

r10

r11

r12

r13

r14

d8

p7

d7

p9

d10

A2

A       N

p8

d9

A1

p7

d7

p5


 

А также другие работы, которые могут Вас заинтересовать

18310. ЛОГІКА 4 клас Експериментальний навчальний посібник 2.47 MB
  Митник О.Я. М 66 Логіка 4 клас. Навчальний посібник. Київ: Початкова школа 2009. 80 с. ІЗВМ 9789668087332 Навчальний посібник Логіка для 4 класу є продовженням певної системи ознайомлення дітей з основними поняттями сучасної логіки з основними видами логічних задач які...
18311. Умовиводи 97.5 KB
  Практичне заняття № 6 Тема: Умовиводи. І. Перетворення. Теоретичні питання. 1. Умовивід його структура. 2. Перетворення та його суть. 3. Схема перетворення для стверджувального судження загального і часткового. 4. Перетворення заперечного судження та його схема ...
18312. Математика. Практикум. Ч 1 3.21 MB
  Коберник Г.І. Чирва Г.М. Математика. Практикум. Ч 1. – Умань: РВЦ Софія 2009. – 185 с. Навчальний посібник написаний згідно навчальної програми курсу €œМатематика€ для педагогічних вузів спеціальності €œПочаткова освіта€. Посібник містить навчальну програму з цього
18313. Математика. Практикум. Ч ІІ 1.3 MB
  Коберник Г.І. Чирва Г.М. Математика. Практикум. Ч ІІ. – Умань: РВЦ Софія 2009. – 185 с. Навчальний посібник написаний згідно навчальної програми курсу €œМатематика€ для педагогічних вузів спеціальності €œПочаткова освіта€. Посібник містить навчальну програму з цьог
18314. ЕКОНОМІЧНИЙ КОНТРОЛЬ У ПРАВООХОРОННІЙ ДІЯЛЬНОСТІ УКРАЇНИ 338.5 KB
  ТЕМА 1. ЕКОНОМІЧНИЙ КОНТРОЛЬ У ПРАВООХОРОННІЙ ДІЯЛЬНОСТІ УКРАЇНИ ПЛАН 1.1. Поняття економічного контролю його сутність об’єктивність та основні принципи. 1.2. Роль правоохоронних органів під час здійснення економічного контролю. 1.3. Державна податкова служба як ор
18315. СУДОВО-БУХГАЛТЕРСЬКА ЕКСПЕРТИЗА, ЇЇ ВИДИ ТА ЗАВДАННЯ 239 KB
  ТЕМА 2. СУДОВОБУХГАЛТЕРСЬКА ЕКСПЕРТИЗАЇЇ ВИДИ ТА ЗАВДАННЯ ПЛАН 2.1. Поняття про судові експертизи та їх зв’язок з правоохоронною діяльністю. 2.2. Види судових експертиз їх класифікація. 2.3. Сутність судовобухгалтерської експертизи та її зв’язок із практикою бухгал
18316. ПРЕДМЕТ І МЕТОД СУДОВО-БУХГАЛТЕРСЬКОЇ ЕКСПЕРТИЗИ 221.5 KB
  ТЕМА 3. ПРЕДМЕТ І МЕТОДСУДОВОБУХГАЛТЕРСЬКОЇ ЕКСПЕРТИЗИ ПЛАН 3.1. Предмет і об’єкти судовобухгалтерської експертизи. 3.2. Методи методичні прийоми і процедури судовобухгалтерської експертизи. Самостійне вивчення теми передбачає засвоєння о
18317. ОРГАНІЗАЦІЯ СУДОВО-БУХГАЛТЕРСЬКОЇ ЕКСПЕРТИЗИ 346.5 KB
  ТЕМА 4. ОРГАНІЗАЦІЯ СУДОВОБУХГАЛТЕРСЬКОЇ ЕКСПЕРТИЗИ ПЛАН 4.1. Загальна організація судовобухгалтерської експертизи в Україні. 4.2. Процес судовобухгалтерської експертизи та його стадії. 4.3. Порядок атестації судових експертів та основні кваліфікаційні вимоги до
18318. ОРГАНІЗАЦІЙНА СТАДІЯ СУДОВО-БУХГАЛТЕРСЬКОЇ ЕКСПЕРТИЗИ 311 KB
  ТЕМА 5. ОРГАНІЗАЦІЙНА СТАДІЯ СУДОВОБУХГАЛТЕРСЬКОЇ ЕКСПЕРТИЗИ ПЛАН 5.1. Порядок призначення судовобухгалтерської експертизи. 5.2. Зміст та структура постанови ухвали про призначення судовобухгалтерської експертизи. 5.3. Проведення судовобухгалтерської експерти