9157474425

CycSecure Server

Natural language (NL) descriptions of network attack plans

NL descriptions of network remedy steps

Detailed, editable and web-browsable network model

NL answers to nearly arbitrary NL queries about tlie model

rys. 3.1: Architektura systemu CycSecure (rysunek z artykułu 2, patrz literatura)

Outputs

Ważną funkcję pełni Planner, który ma dostęp do informacji o bugach poszczególnych programów dzięki czemu wiadomo, gdzie znajdują się słabe punkty i gdzie spodziewać się potencjalnych ataków. Planner jest również odpowiedzialny za planowanie kolejnych działań serwera. Inference Engine stanowi bazę rozumowania, a więc serce CycSecur'a. Użytkownik może się odnosić do systemu za pomocą specjalnego interface'u, który zawiera statystyki sieciowe, umożliwia analizę ataków sieciowych, dostęp do Planner'a i wiele innych. Posiadając aktualny i ciągle uzupełniany model Internetu na serwerze, CycSecure może symulować ataki na sieć komputerową. Użytkownik mając odpowiedni dostęp do funkcjonalności, może udoskonalać i analizować ten proces.

Aby serwer mógł zbierać informację o komputerach klientów, musi być u nich uruchomiony demon Sentinel. Demon ten jest najsłabszym ogniwem systemu. Cycorp zapewnia oczywiście, że Sentinel nie zużywa wielu zasobów na komputerach klientów. Jednak faktem jest, iż są one podatne na różne ataki. Co więcej błędy w kodzie tego demona mogą nie tylko poważnie zaszkodzić klientowi, ale samemu serwerowi. Poza tym zbierane dane przez Sentinefa są poufne, więc nie powinny być one podatne na podsłuchiwanie czy zmienianie zawartości. Domyślnie pakiety wysyłane przez demona nie są szyfrowane w żaden sposób, bowiem zwiększyłoby to złożoność danego rozwiązania. Uważam, że jest to nieakceptowalne rozwiązanie. Jeżeli inteligenty agent nie jest w stanie obronić się przed zwykłym wirusem z sieci, jak ma zamiar bronić się on przed inteligentnymi wirusami, które, jeśli już nie istnieją, na pewno powstaną? Z drugiej strony, jeżeli będzie taka potrzeba, szyfrowanie danych może być łatwo zaimplementowane w demonie. Przez 6 miesięcy system ten był testowany przez grupę STARTCOM z USA. Wyniki testów były bardzo zadowalające. Oprócz wad, związanych z demonem Sentinel, zauważono również, że serwer zbierał zbyt dużo informacji niż był w stanie później przetworzyć, aby przeanalizować kwestie bezpieczeństwa na komputerach klientów. Ale oczywiście zadania jednego serwera można podzielić na wiele innych współpracujących ze sobą komputerów.

7