33633

Построение модели систем защиты на базе Е-сетей на основе выделенного набора правил фильтрации

Доклад

Информатика, кибернетика и программирование

2 Переходы: d3 = XEâr3 p1 p2 p3 t3 установление соединения проверка пароля и имени пользователя для доступа к внутренней сети подсети; d4 = XEâr4 p2 p4 р5 0 подсчет попыток ввода пароля и имени; d5 = Tp4 p6 0 вывод сообщения о неверном вводе пароля и имени; d6 = Tp1 p6 0 передача пакета для повторной аутентификации и идентификации; d7 = Tp5 p7 t4 создание соответствующей записи в журнале учета и регистрации. 3 Решающие позиции: r3 проверка пароля и имени пользователя; r4 ...

Русский

2013-09-06

78 KB

2 чел.

52. Построение модели систем защиты на базе Е-сетей на основе выделенного набора правил фильтрации

В связи с этим используется аппарат с более мощными моделирующими возможностями, которыми является одно из расширений сетей Петри - Е-сети. Такая модель позволяет реализовать множество параллельных информационных процессов. Эта графическая модель в сочетании с логическими правилами изменения состояния (разрешающие позиции) Е-сетей, позволяющими воспроизвести динамику функционирования информационной системы, представляет собой математическую модель имитационного типа .

Структурно Е-сеть представляет собой граф, состоящий из двух типов вершин: позиций и переходов, соединенных друг с другом ориентированными дугами, причем каждая дуга может связывать лишь позицию с переходом или, наоборот, переход с позицией.

В Е-сетях имеется несколько типов позиций, каждая позиция может инцидентна не более чем двум дугам (входящей и исходящей); фишки (или объекты), являющиеся динамическими элементами сети, могут обладать набором признаков, или атрибутов. Кроме того, Е-сети с каждым переходом можно ассоциировать ненулевую временную задержку и процедуру преобразования атрибуту фишек.

в Е-сетях существуют решающие позиции, которые играют управляющую роль и позволяют организовать условные ветвления и условную селективную выборку перемещающихся фишек.

В Е-сетях существуют следующие позиции: простые (одноместные), позиции-очереди (многоместные) и разрешающие.

Важной особенностью Е-сетей  является детализация представления меток. С каждой меткой в Е-сети связаны n описателей.

11.2. Формирование и формализация модели системы безопасности базе модифицированных Е-сетей.

Агент аутентификации и идентификации может быть представлен следующим образом (рис. 11.1.):

Рис. 11.1. Реализация агента аутентификации и идентификации на базе Е-сетей

где: 1) Позиции: р1 - пакет выбран из очереди и передан для проверки доступа к данной сети (подсети);  р2 - пароль и (или) имя пользователя введено неверно; р3 - пароль и имя пользователя введены верно; р4 - сумма попыток ввода пароля и имени <3; р5 - сумма попыток ввода пароля и имени = 3; р6 - выдано сообщение о неверном вводе пароля и (или) имени; р7 – соответствующая запись в журнале учета выполнена.

2) Переходы: d3 = (XE”(r3, p1, p2, p3), t3, -) - установление соединения, проверка пароля и имени пользователя для доступа к внутренней сети (подсети); d4 = (XE”(r4, p2, p4, р5), 0, -) - подсчет попыток ввода пароля и имени; d5 = (T(p4, p6), 0, -) - вывод сообщения о неверном вводе пароля и имени; d6 = (T(p1, p6), 0, -) – передача пакета для повторной аутентификации и идентификации; d7 = (T(p5, p7), t4, -) - создание соответствующей записи в журнале учета и регистрации.

3) Решающие позиции: r3 - проверка пароля и имени пользователя; r4 - подсчет попыток ввода пароля.

4) Множество процедур решающих позиций:

3 (r3) = r3: ( p2 = 1 M(r3): = 1;

    p3 = 2 M(r3): = 2);

4 (r4) = r4: ( p4 = 1 M(r4): = 1

   p5 = 2 M(r4): = 2);

Агент разграничения доступа будет осуществлять следующие задачи:

т.к. не все пользователи могут иметь доступ к ресурсам другой подсети, то на первом этапе будет выполнение проверка по IP-адрес или номер порта или и то и другое отправителя кадра,

т.к.  не ко всем ресурсам одной подсети может существовать доступ от пользователя другой сети, то на втором этапе будет выполнена проверка по IP-адрес или номер порта или и то и другое получателя кадра,

т.к. конкретному пользователю может быть запрещен доступ к конкретному ресурсу, то на третьем этапе выполняется проверка возможности доступа конкретного пользователя к конкретному ресурсу.

Тогда работу агента разграничения доступа в нашем случае можно промоделировать следующим образом рис. 11.2.:

Рис. 11.2. Реализация агента разграничения доступа на базе Е-сетей 

Где: 1) Позиции: р3 – пакет передан для дальнейшей проверки; р8 - нет IP-адреса отправителя в маршрутной таблице; р9 - есть IP-адрес отправителя в маршрутной таблице; р10 - нет номера порта отправителя в маршрутной таблице; р11 - есть номер порта отправителя в маршрутной таблице; р12 - нет IP-адреса получателя в маршрутной таблице; р13 - есть IP-адрес получателя в маршрутной таблице; р14 - нет номера порта получателя в маршрутной таблице; р15 - есть номер порта получателя в маршрутной таблице; р16 - данному субъекту первой подсети не разрешен доступ к данному объекту другой подсети; р17 - данному субъекту первой подсети разрешен доступ к данному объекту другой подсети; р7 – соответствующая запись в журнале учета выполнена.

2) Переходы: d7 = (T(p7, p8, p10, p12, p14, p16), t4, -) -  создание соответствующей записи в журнале учета и регистрации;  d8 = (XE”(r5, p3, p8, p9), t5, -) – проверка пакета на наличие IP-адреса отправителя в маршрутной таблице; d9 = (XE”(r6, p9, p10, p11), t6, -) – проверка пакета на наличие номера порта отправителя в маршрутной таблице; d10 = (XE”(r7, p11, p12, p13), t7, -) – проверка пакета на наличие IP-адреса получателя в маршрутной таблице; d11 = (XE”(r8, p13, p14, p15), t8, -) – проверка пакета на наличие номера порта получателя в маршрутной таблице; d12 = (XE”(r9, p15, p16, p17), t9, -) – проверка на разрешение доступа данного субъекта к данному объекту.

3) Решающие позиции: r5 – проверка наличия IP-адреса отправителя в маршрутной таблице; r6 – проверка наличия номера порта отправителя в маршрутной таблице; r7 – проверка пакета на наличие IP-адреса получателя в маршрутной таблице; r8 – проверка пакета на наличие номера порта получателя в маршрутной таблице; r9 - проверка на разрешение доступа данного субъекта к данному объекту.

Функции моделей агента разграничения доступа и агента фильтрации частично пересекаются, поэтому объединим в единый блок. Такая модель очень сложно как для реализации, так и для проверки. Поэтому для упрощения в данной работе предлагается ввести новый макро-переход – N-переход (рис. 11.3).

Макропереход срабатывает, если m (x, y+1, …, y+, …, y+, …, y+q, , ) = (1, 0, …, 0, …,0, …, 0, , ). Отличительной особенностью данного перехода является то, что метка из места x в зависимости от  функции срабатывания перехода (Z) может перейти или в место y+ или в место y+ и y+ (см. рис.). Z – функции срабатывания перехода, Z = r1 r2 rn, где rn = . При наличии условий срабатывания макроперехода N (m(x)=1 и управляющие сигналы из внешней среды равны единице) в месте rn выполняется срабатывание перехода по функции Z, которая переводит его из неопределенного состояния в определенное «0» или «1».

Рис. 11.3. Макро-переход N-типа.

Рис. 11.4. Реализация блока фильтрации на базе модифицированных Е-сетей

В нашем случае пакет по результатам проверки или передается дальше (если все значения r – истина, т.е. функция срабатывания Z = r1 r2 r3 r4 r5 r6 r7 r8 r9 r10) или уничтожается (если хотя бы одно из значений r – ложь). Тогда модель блока фильтрации реализуем следующим образом (рис 11.4.):

На рис 12.4. 1) Позиции: р3 – пакет передан для дальнейшей проверки; р7 –соответствующая запись в журнале учета выполнена; р8 –пакет не удовлетворяет какому-либо из критериев фильтрации; p9 – пакет удовлетворяет всем критериям фильтрации.

2) Переходы: d7 = (T(p7, р8), t4, -) – создание соответствующей записи в журнале учета и регистрации; d8 = (N(r5, r6, r7, r8, r9, r10, r11, r12, r13, r14, p3), t5, -) – проверка пакета, d10 = (T(p9, А2), t6, -) – пакет передан на выход системы.3) Решающие позиции: r5 – проверка наличия IP-адреса отправителя в маршрутной таблице; r6 – проверка наличия номера порта отправителя в маршрутной таблице; r7 – проверка пакета на наличие IP-адреса получателя в маршрутной таблице; r8 – проверка пакета на наличие номера порта получателя в маршрутной таблице; r9 - проверка на разрешение доступа данного субъекта к данному объекту; r10 – проверка типа данных; r11 – проверка стоимости данных; r12 – проверка уровня секретности данных; r13 – проверка пакета на наличие ошибок; r14 – проверка TTL-поля.

3) Макропозиции поглощения меток: А2 - пакет передан на выход системы.

Агент регистрации событий может быть промоделирован следующим образом:

Рис. 11.5. Реализация агента регистрации событий на базе Е-сетей 

Где: 1) Позиции: р5 – сумма попыток ввода пароля и имени = 3; р7 –соответствующая запись в журнале учета выполнена; р8 – пакет не удовлетворяет какому-либо из критериев фильтрации.

2) Переходы: d7 = (J(р5, р8, р7)) – создание соответствующей записи в журнале учета и регистрации; d9 = (Т(р7, А1), 0, -) – уничтожение пакета.

3) Макропозиции поглощения меток: А - пакет уничтожен.


d7

p7

d6

d5

р3

2

d4

r3

р1

d3

r4

p5

p4

p6

A       N

p17

p15

p16

d12

r9

p12

d10

d9

r7

r6

p11

p10

d7

p3

r5

p9

p8

d8

d11

r8

p13

p14

p7

r1

r2

rn

x

. . .

y+1

y+2

y+

. . .

d

. . .

. . .

y+

y+q

r5

r6

r7

p3

p8

r8

r9

r10

r11

r12

r13

r14

d8

p7

d7

p9

d10

A2

A       N

p8

d9

A1

p7

d7

p5


 

А также другие работы, которые могут Вас заинтересовать

74203. Сылақ және майлау жұмыстарына арналған машиналар 717.44 KB
  Сылақ станциялары мен агрегаттары және қол ысқылауыштарының атқаратын қызметі негізгі параметрлері және қолданылу облысы. Жылжымалы сылау агрегаттары. Еден асты негіздерін дайындауға және шатыр мен гидроизоляциялауға арналған машиналар құрылымы мен жұмысы Жоспар: Сылақ станциялары мен агрегаттары және қол ысқылауыштарының атқаратын қызметі.
74204. Жер жұмыстарына арналған машиналар туралы жалпы мағлұматтар 147.63 KB
  Жұмысшы органдары мен топырақпен өзара әсерлесуі. Топырақтардың физикамеханикалық сипаттамасы Жоспар: Жер жұмыстарына арналған машиналар туралы жалпы мағлұматтар. Жұмысшы органдары мен топырақпен өзара әсерлесуі. Топырақтардың физикамеханикалық сипаттамасы.
74205. Жер қазу-тасымалдау машиналары. Қызметі, қолданылу облысы. Негізгі техника-экономикалық көрсеткіштері 659.49 KB
  Жер қазутасымалдау машиналары ЖҚТМ деп топырақты массивтен тарту күші арқылы ажыратып оны түсіру орнына өз жүрісімен жеткізетін құрылыс машиналарын атайды. Негізгі атқаратын жұмысшы операциялары: топырақты қабаттап өңдеу оны тасымалдау құрылыс объектісі негізіне төсеу немесе төгу топырақ беттерін жоспарлау. Негізгі қызметі: топырақты жер бетімен сүргіш органы арқылы азғана арақашықтыққа 150м жылжыту арқылы қабаттап өңдеу. Мына жағдайларда қолданылады: құрылыс алаңын дайындау барысында топырақтың беткі құнарлы қабатын алу;...
74206. Экскаваторлар. Жіктелуі, қолданылу облысы. Жұмысшы органының негізгі түрлері, параметрлері және құрылыс экскаваторларының индексациясы 885.5 KB
  Біршөмішті экскаватордың жұмыс циклі рет-ретімен орындалатын топырақ қазу, оны шөмішпен төсеу орнына тасымалдау, топырақты үйме мен көлік құралына аудару арқылы шөмішті босату және келесі циклді бастау үшін шөміштің алғашқы позициясына қайтып оралу операцияларынан тұрады
74207. Бұрғылау машиналары және жабдықтары. Бұрғылау құралы. Шпурлар бұрғылауға арналған машиналар. Бұрғылау-кранды машиналар 1.45 MB
  Бұрғылау – бұл топырақ массивінде қирау заттарын сыртқа шығара отырып, цилиндрлік жазықтықтар түзу арқылы топырақты қирату процесі. Егер диаметрі 75 мм дейін және тереңдігі 9 м болса жазықтықтар шпурлар деп, ал өлшемдері үлкен болса бұрғы деп аталынады.
74208. Тиеп-түсіру машиналары. Тиегіштер түрлері. Жұмыс процесі 455.42 KB
  Жұмысшы жабдық нұсқаларының көптігі және жұмыс органдарының ауыспалылығы құрылыс тиегіштерінің жұмыс жасау облысын кеңейтіп оларды құрылыс тасымалының барлық этаптарында қолданылатын универсалды машинаға айналдырады. БФПТтердің жұмысшы жабдығы жебе коромысло тартқыш гидроцилиндрлер құратын рычагты механизмнен тұрады. Сонымен қатар түсіру биіктігін ондаған сантиметрге жоғарылатытын машинаның универсалдылығын арттыратын жақты шөміштер де қолданылады бірақ олар жұмысшы жабдықтың күрделенуіне қосымша гидравликалық контурлар орнату...
74209. Машиналардың ұсақтау типтері жәнеұсақталатын материал беріктігі мен ұсақталу дәрежесіне қарай оларды таңд. 1.43 MB
  Грохоттардың қолданылуы принциптік схемалары жұмыс процестері негізгі параметрлері мен жұмыс өнімділігі Жоспар: Машиналардың ұсақтау типтері және ұсақталатын материал беріктігі мен ұсақталу дәрежесіне қарай оларды таңдап алу. Тас жыныстарды бұзу мен уатудың механикалық процесі ұсақтау деп аталады және тас ұсақтағыш машиналар тас ұсақтағыштарды қолдана отырып ұсақтау жаншу сындыру және үйкеу көмегімен жүзеге асырылады. Ұсақтау машиналарында ұсақталатын жыныстың қасиеттеріне және ірілігіне қарай әртүрлі әдістер бірге қолданылады.
74210. Бетон қоспалары мен сылақтарын дайындауға арналған машиналар мен жабдықтар. Араластырғыш машиналардың қызметі мен құрамы. Араластырғыш машиналардың жіктелуі 1.46 MB
  Бетон араластырғыштар мен циклді және үздіксіз жұмыс жасайтын сылақ араластырғыштардың типтері негізгі параметрлері мен конструктивтік схемалары. Бетон қоспаларын тығыздау қажеттіліктері мен тәсілдері Жоспар: Араластырғыш машиналардың қызметі мен құрамы. Бетон араластырғыштар мен циклді және үздіксіз жұмыс жасайтын сылақ араластырғыштардың типтері негізгі параметрлері мен конструктивтік схемалары.
74211. Топырақ тығыздағыш машналар. Топырақты домалату, таптау және вибротаптау арқылы тығыздау 930.22 KB
  Топырақты домалату таптау және вибротаптау арқылы тығыздау. Жұмыс процесі негізгі параметрлері техникалық және эксплуатациялық көрсеткіштері Жоспар: Топырақ тығыздағыш машиналар. Топырақты домалату таптау және вибротаптау арқылы тығыздау.