33633

Построение модели систем защиты на базе Е-сетей на основе выделенного набора правил фильтрации

Доклад

Информатика, кибернетика и программирование

2 Переходы: d3 = XEâr3 p1 p2 p3 t3 установление соединения проверка пароля и имени пользователя для доступа к внутренней сети подсети; d4 = XEâr4 p2 p4 р5 0 подсчет попыток ввода пароля и имени; d5 = Tp4 p6 0 вывод сообщения о неверном вводе пароля и имени; d6 = Tp1 p6 0 передача пакета для повторной аутентификации и идентификации; d7 = Tp5 p7 t4 создание соответствующей записи в журнале учета и регистрации. 3 Решающие позиции: r3 проверка пароля и имени пользователя; r4 ...

Русский

2013-09-06

78 KB

2 чел.

52. Построение модели систем защиты на базе Е-сетей на основе выделенного набора правил фильтрации

В связи с этим используется аппарат с более мощными моделирующими возможностями, которыми является одно из расширений сетей Петри - Е-сети. Такая модель позволяет реализовать множество параллельных информационных процессов. Эта графическая модель в сочетании с логическими правилами изменения состояния (разрешающие позиции) Е-сетей, позволяющими воспроизвести динамику функционирования информационной системы, представляет собой математическую модель имитационного типа .

Структурно Е-сеть представляет собой граф, состоящий из двух типов вершин: позиций и переходов, соединенных друг с другом ориентированными дугами, причем каждая дуга может связывать лишь позицию с переходом или, наоборот, переход с позицией.

В Е-сетях имеется несколько типов позиций, каждая позиция может инцидентна не более чем двум дугам (входящей и исходящей); фишки (или объекты), являющиеся динамическими элементами сети, могут обладать набором признаков, или атрибутов. Кроме того, Е-сети с каждым переходом можно ассоциировать ненулевую временную задержку и процедуру преобразования атрибуту фишек.

в Е-сетях существуют решающие позиции, которые играют управляющую роль и позволяют организовать условные ветвления и условную селективную выборку перемещающихся фишек.

В Е-сетях существуют следующие позиции: простые (одноместные), позиции-очереди (многоместные) и разрешающие.

Важной особенностью Е-сетей  является детализация представления меток. С каждой меткой в Е-сети связаны n описателей.

11.2. Формирование и формализация модели системы безопасности базе модифицированных Е-сетей.

Агент аутентификации и идентификации может быть представлен следующим образом (рис. 11.1.):

Рис. 11.1. Реализация агента аутентификации и идентификации на базе Е-сетей

где: 1) Позиции: р1 - пакет выбран из очереди и передан для проверки доступа к данной сети (подсети);  р2 - пароль и (или) имя пользователя введено неверно; р3 - пароль и имя пользователя введены верно; р4 - сумма попыток ввода пароля и имени <3; р5 - сумма попыток ввода пароля и имени = 3; р6 - выдано сообщение о неверном вводе пароля и (или) имени; р7 – соответствующая запись в журнале учета выполнена.

2) Переходы: d3 = (XE”(r3, p1, p2, p3), t3, -) - установление соединения, проверка пароля и имени пользователя для доступа к внутренней сети (подсети); d4 = (XE”(r4, p2, p4, р5), 0, -) - подсчет попыток ввода пароля и имени; d5 = (T(p4, p6), 0, -) - вывод сообщения о неверном вводе пароля и имени; d6 = (T(p1, p6), 0, -) – передача пакета для повторной аутентификации и идентификации; d7 = (T(p5, p7), t4, -) - создание соответствующей записи в журнале учета и регистрации.

3) Решающие позиции: r3 - проверка пароля и имени пользователя; r4 - подсчет попыток ввода пароля.

4) Множество процедур решающих позиций:

3 (r3) = r3: ( p2 = 1 M(r3): = 1;

    p3 = 2 M(r3): = 2);

4 (r4) = r4: ( p4 = 1 M(r4): = 1

   p5 = 2 M(r4): = 2);

Агент разграничения доступа будет осуществлять следующие задачи:

т.к. не все пользователи могут иметь доступ к ресурсам другой подсети, то на первом этапе будет выполнение проверка по IP-адрес или номер порта или и то и другое отправителя кадра,

т.к.  не ко всем ресурсам одной подсети может существовать доступ от пользователя другой сети, то на втором этапе будет выполнена проверка по IP-адрес или номер порта или и то и другое получателя кадра,

т.к. конкретному пользователю может быть запрещен доступ к конкретному ресурсу, то на третьем этапе выполняется проверка возможности доступа конкретного пользователя к конкретному ресурсу.

Тогда работу агента разграничения доступа в нашем случае можно промоделировать следующим образом рис. 11.2.:

Рис. 11.2. Реализация агента разграничения доступа на базе Е-сетей 

Где: 1) Позиции: р3 – пакет передан для дальнейшей проверки; р8 - нет IP-адреса отправителя в маршрутной таблице; р9 - есть IP-адрес отправителя в маршрутной таблице; р10 - нет номера порта отправителя в маршрутной таблице; р11 - есть номер порта отправителя в маршрутной таблице; р12 - нет IP-адреса получателя в маршрутной таблице; р13 - есть IP-адрес получателя в маршрутной таблице; р14 - нет номера порта получателя в маршрутной таблице; р15 - есть номер порта получателя в маршрутной таблице; р16 - данному субъекту первой подсети не разрешен доступ к данному объекту другой подсети; р17 - данному субъекту первой подсети разрешен доступ к данному объекту другой подсети; р7 – соответствующая запись в журнале учета выполнена.

2) Переходы: d7 = (T(p7, p8, p10, p12, p14, p16), t4, -) -  создание соответствующей записи в журнале учета и регистрации;  d8 = (XE”(r5, p3, p8, p9), t5, -) – проверка пакета на наличие IP-адреса отправителя в маршрутной таблице; d9 = (XE”(r6, p9, p10, p11), t6, -) – проверка пакета на наличие номера порта отправителя в маршрутной таблице; d10 = (XE”(r7, p11, p12, p13), t7, -) – проверка пакета на наличие IP-адреса получателя в маршрутной таблице; d11 = (XE”(r8, p13, p14, p15), t8, -) – проверка пакета на наличие номера порта получателя в маршрутной таблице; d12 = (XE”(r9, p15, p16, p17), t9, -) – проверка на разрешение доступа данного субъекта к данному объекту.

3) Решающие позиции: r5 – проверка наличия IP-адреса отправителя в маршрутной таблице; r6 – проверка наличия номера порта отправителя в маршрутной таблице; r7 – проверка пакета на наличие IP-адреса получателя в маршрутной таблице; r8 – проверка пакета на наличие номера порта получателя в маршрутной таблице; r9 - проверка на разрешение доступа данного субъекта к данному объекту.

Функции моделей агента разграничения доступа и агента фильтрации частично пересекаются, поэтому объединим в единый блок. Такая модель очень сложно как для реализации, так и для проверки. Поэтому для упрощения в данной работе предлагается ввести новый макро-переход – N-переход (рис. 11.3).

Макропереход срабатывает, если m (x, y+1, …, y+, …, y+, …, y+q, , ) = (1, 0, …, 0, …,0, …, 0, , ). Отличительной особенностью данного перехода является то, что метка из места x в зависимости от  функции срабатывания перехода (Z) может перейти или в место y+ или в место y+ и y+ (см. рис.). Z – функции срабатывания перехода, Z = r1 r2 rn, где rn = . При наличии условий срабатывания макроперехода N (m(x)=1 и управляющие сигналы из внешней среды равны единице) в месте rn выполняется срабатывание перехода по функции Z, которая переводит его из неопределенного состояния в определенное «0» или «1».

Рис. 11.3. Макро-переход N-типа.

Рис. 11.4. Реализация блока фильтрации на базе модифицированных Е-сетей

В нашем случае пакет по результатам проверки или передается дальше (если все значения r – истина, т.е. функция срабатывания Z = r1 r2 r3 r4 r5 r6 r7 r8 r9 r10) или уничтожается (если хотя бы одно из значений r – ложь). Тогда модель блока фильтрации реализуем следующим образом (рис 11.4.):

На рис 12.4. 1) Позиции: р3 – пакет передан для дальнейшей проверки; р7 –соответствующая запись в журнале учета выполнена; р8 –пакет не удовлетворяет какому-либо из критериев фильтрации; p9 – пакет удовлетворяет всем критериям фильтрации.

2) Переходы: d7 = (T(p7, р8), t4, -) – создание соответствующей записи в журнале учета и регистрации; d8 = (N(r5, r6, r7, r8, r9, r10, r11, r12, r13, r14, p3), t5, -) – проверка пакета, d10 = (T(p9, А2), t6, -) – пакет передан на выход системы.3) Решающие позиции: r5 – проверка наличия IP-адреса отправителя в маршрутной таблице; r6 – проверка наличия номера порта отправителя в маршрутной таблице; r7 – проверка пакета на наличие IP-адреса получателя в маршрутной таблице; r8 – проверка пакета на наличие номера порта получателя в маршрутной таблице; r9 - проверка на разрешение доступа данного субъекта к данному объекту; r10 – проверка типа данных; r11 – проверка стоимости данных; r12 – проверка уровня секретности данных; r13 – проверка пакета на наличие ошибок; r14 – проверка TTL-поля.

3) Макропозиции поглощения меток: А2 - пакет передан на выход системы.

Агент регистрации событий может быть промоделирован следующим образом:

Рис. 11.5. Реализация агента регистрации событий на базе Е-сетей 

Где: 1) Позиции: р5 – сумма попыток ввода пароля и имени = 3; р7 –соответствующая запись в журнале учета выполнена; р8 – пакет не удовлетворяет какому-либо из критериев фильтрации.

2) Переходы: d7 = (J(р5, р8, р7)) – создание соответствующей записи в журнале учета и регистрации; d9 = (Т(р7, А1), 0, -) – уничтожение пакета.

3) Макропозиции поглощения меток: А - пакет уничтожен.


d7

p7

d6

d5

р3

2

d4

r3

р1

d3

r4

p5

p4

p6

A       N

p17

p15

p16

d12

r9

p12

d10

d9

r7

r6

p11

p10

d7

p3

r5

p9

p8

d8

d11

r8

p13

p14

p7

r1

r2

rn

x

. . .

y+1

y+2

y+

. . .

d

. . .

. . .

y+

y+q

r5

r6

r7

p3

p8

r8

r9

r10

r11

r12

r13

r14

d8

p7

d7

p9

d10

A2

A       N

p8

d9

A1

p7

d7

p5


 

А также другие работы, которые могут Вас заинтересовать

40556. Бактерії у водних екосистемах 16.03 KB
  Навіть бактерії які населяють сухі грунти живуть у воді що міститься у капілярах грунту. Це гетеротрофні бактерії особливістю життєдіяльності яких є вивільнення C N P S та інших елементів з органічних речовин і переведення їх у неорганічну форму з виділенням СО2. Найважливішим у цьому процесі є те що бактерії переводять органогенні елементи у єдину доступну для рослинпродуцентів форму неорганічну NH4 PO43 SO42 CO2 таким чином замикаючи колообіг речовин всередині екосистеми.
40557. Расчет и конструирование одноэтажного промышленного здания 1.1 MB
  Расчёт прочности двухветвевой колонны крайнего ряда. Крайние и средние колонны проектируются сквозными двухветвевыми так как высота здания более 12м. Колонны имеют длину от обреза фундамента до верха подкрановой консоли Н1=14401514=128 м; от верха подкрановой консоли до низа стропильной конструкции в соответствии с габаритом мостового крана согласно стандарту на мостовые краны высотой подкрановой балки рельса размером зазора Н2=1401501523 = 4 м. Высота колонны с высотой анкеровки Н3=Н09=16809=177 м.
40558. Проектирование корпоративной информационной системы предприятия 2.74 MB
  Корпоративная информационная система КИС система DNS сервер клиентская станция автоматизированное рабочее место АРМ программное и аппаратное обеспечение сервис домен адресное пространство. Цель курсовой работы ознакомиться с методами и технологиями проектирования корпоративной информационной системы предприятия КИС. В процессе выполнения курсовой работы необходимо на основе анализа исходных данных и ознакомления с существующими аналогами проектируемых КИС разработать структуру КИС иерархию взаимодействия отдельных элементов...
40559. КОРПОРАТИВНЫЕ ИНФОРМАЦИОННЫЕ СИСТЕМЫ 19.36 MB
  Рассматриваются современные технологии корпоративной сети как транспортной подсистемы КИС принципы построения сетей основное сетевое оборудование протоколы прикладного уровня варианты технической реализации корпоративных подключений а также возможности и функциональный состав подсистемы интеллектуального здания. Корпоративная сеть является ключевым элементом КИС и поэтому она должна удовлетворять следующим важным требованиям: надежность является одним из факторов определяющих непрерывность деятельности организации;...
40560. Разработка и эксплуатация автоматизированных информационных систем 1.52 MB
  Козлова Методические рекомендации по выполнению курсового проекта по дисциплине: Разработка и эксплуатацияавтоматизированных информационных систем для специальности: Автоматизированные системы обработки информации и управления Самара 2011 Содержание [1] 1. Структура курсового проекта [2.2 Структура глав проекта основная часть0 [3] 3. Требования по оформлению курсового проекта [3.
40561. Факторный Анализ 35.5 KB
  Основной задачей лабораторной работы является выделение наиболее показательных системных счётчиков которые косвенно могут давать нам информацию об остальных параметрах системы Теоретическая часть: Факторный анализ совокупность методов многомерного статистического анализа применяемых для изучения взаимосвязей между значениями переменных. Цели факторного анализа: сокращение числа переменных; определение взаимосвязей между переменными их классификация. Методики факторного анализа: Анализ главных компонент.
40562. Деревья решений 263 KB
  Известно что обучающий контент делится на несколько категорий по виду аудитории пользователей. В данном случае для исследования аудитории пользователей была взята статистика Портала на 1000 человек. Категории пользователей: По возрасту: Младше 18 лет 651; Старше 18 лет 349; По виду учебного заведения: Из пользователей младше 18 лет учащимися школы являются 721; Из пользователей младше 18 лет учащимися ССУЗов являются 279; Из пользователей старше 18 лет учащиеся ССУЗов 72; Из пользователей старше 18 лет студенты ВУЗов...
40563. Деревья решений. Принятие решений 500 KB
  Экспертные системы класс близкий к системам поддержки принятия решений которые представляют собой компьютерные автоматизированные системы целью которых является помощь людям принимающим решение в каких-либо определенных условиях для полного и объективного анализа предметной деятельности. Теория принятия решений область исследования включающая в себя понятия и методы математики статистики экономики менеджмента и психологии которая изучает закономерности выбора людьми путей решения разного рода задач а также исследует способы...
40564. Компоновка поперечной рамы здания 1.2 MB
  Расстояние от оси подкрановой балки до оси колоны l1B1hBa75 B1 размер части кранового моста выступающей за ось рельса 75мм зазор между краном и колонной l1300100050075=875 мм l1 должен быть кратным 250 мм значит l1=1000 мм Высота сечения нижней части колонны hH=l1a hH= 1000500=1500 мм Пролёт мостового крана lк =l 2 l1 =3600021000=34000 Сечения верхней части колонны назначаем сплошно стенчатым двутавровым нижней сквозным. Вертикальные усилия от мостового крана Расчётное давление на...