Рассмотрим сеть, состоящую из узлов
Рассмотрим сеть, состоящую из узлов и каналов между ними. Распределенную информационную систему можно представить как приложения в узлах сети, связанные некоторой интегрирующей системой, которая позволяет координировать использование различных приложений в решении задач. Интеграция может быть достигнута с помощью многоагентной системы (МАС).
Некоторые МАС описаны в научной литературе, например, стандарт FIPA для интеллектуальных агентов []. System Research Institute опубликовал свои результаты в Open Agent Architecture []. Много работ посвящено COUGAAR []. МАС присутствует в GRID []. Мы говорим о высоко критичных распределенных системах [], если потери велики при серьезных сбоях в таких системах. Мы предполагаем наличие злоумышленника и то, что распределенная система может подвергнуться его атаке для нанесения ущерба владельцу информации и системы.
Для предотвращения ущерба мы должны выяснить, каким образом противник может атаковать распределенную систему. Это поможет понять, как определить безопасность распределенной системы и каким образом она может быть достигнута.
Любая атака может быть разбита на два этапа. Первый включает сбор информации об атакуемой системе и организацию атаки, второй — проведение самой атаки. На первом этапе разрабатывается план для всех участников атаки с информацией о том, что следует делать в определенных обстоятельствах во время проведения атаки. На втором этапе атаки противник стремится получить доступ к уязвимым точкам, через которые наносится ущерб, а затем скрывает следы атаки, чтобы предотвратить обвинения против атакующих.
Мы предполагаем, что любая атака на отдельный хост распределенной системы не приводит к фатальному ущербу. Атака должна быть распределенной, т. е. представлять собой распределенную атаку как скоординированные действия, произведенные в различных подсистемах распределенной информационной системы с целью нанесения ущерба.
Рассмотрим, что необходимо использовать противнику для выполнения распределенной атаки.
Конечно, существуют механизмы безопасности в распределенной системе. К ним относятся аудит или системы обнаружения вторжений, контроль целостности, контроль доступов, межсетевые экраны и др. Как минимум, первый этап атаки должен быть "невидимым" для механизмов защиты.
При организации атаки необходим механизм интеграции деятельности всех противников. Рассмотрим ситуацию, когда они представлены программно-аппаратными агентами в компьютерной среде. Тогда интеграция действий противника в атаке может осуществляться с помощью враждебной многоагентной системы (ВМАС). Чтобы решать задачи по интеграции деятельности злоумышленника, ВМАС должна представлять собой сеть. Для этого необходимы коммуникации между агентами, и каналы должны быть скрытыми от средств защиты.
В настоящей статье авторы пытаются найти ответ на вопрос, могут ли данные свойства быть выполнены.
В основу ВМАС заложены три хорошо известные модели. Первая — это модель невлияния [, , , , , ]. Если выполняются условия невлияния, то можно доказать, что агенты "невидимы" для механизмов защиты. Примеры реализации "невидимых" агентов будут приведены далее.
Вторая модель — модель скрытых каналов. Она определяет возможность существования коммуникаций, "невидимых" для механизмов защиты. Частично такие коммуникации внутри компьютера описаны в работе []. Скрытые каналы в открытых сетях часто называют стеганографией. В рассматриваемой задаче скрытые от средств защиты каналы должны существовать в условиях, когда используются механизмы защиты, которые, "не видя" скрытый канал, могут препятствовать его существованию. В таких случаях мы говорим о скрытых каналах, преодолевающих защиту.
Третья модель — Open Agent Architecture (OAA) []. Она показывает, как ВМАС может быть сделана интеллектуальной.
Мы не строили большую ВМАС, но проведенные эксперименты подтверждают все положения настоящей статьи.
