Материалы всероссийской научно-технической конференции Автоматизир
..pdfПроект системы. Проектировку (рис. 2) будем реализовывать в программе GRIN. Для этого построим граф, удовлетворяющий тре бованиям задачи о максимальном потоке [6].
Цифры 1, 2, 3 обозначают объекты, 4-12 обозначают камеры, 13, 14, 15 - маршрутизаторы. Технологии передачи данных обозначены цифрами от 16 до 20, вычислительные центры - 21, 22 и пользователь обозначен как 23, а 24 - общий исток, имеющий большую пропуск ную способность.
Пропускная способность в нашем случае является весом ребра. Задаем вес и вычисляем максимальный поток. Максимальный поток получился равен 169. Это не удовлетворяет заданию, поэтому далее будем оптимизировать сеть.
Оптимизация проекта. Для оптимизации работы сети мы мо жем изменять вручную вес ребер, т.е. на практике пропускную спо собность элементов сети.
В программе GRIN можно наглядно увидеть, в каких местах на гружена сеть. Если ребра окрашены в красный цвет, то поток равен пропускной способности сети, т.е. нагрузка максимальная. Синие ребра обозначают, что величина потока меньше пропускной способ ности сети, зеленые ребра - поток не больше половины пропускной способности, а серые - поток равен нулю, и, следовательно, он не используется. Таким образом, меняя в программе вес ребра (пропу скную способность), можно определить на самом объекте места за мены оборудования.
На модели сети видно, что поток с камер на объект «1» поступа ет большой, часть от этого потока направляется к маршрутизатору «13» и далее по техническим каналам напрямую к пользователю, а другая часть сначала направляется к объекту «3», где пропускная способность так же не способна направить весь поток напрямую к пользователю. В итоге поток переходит на объект «2», оттуда - уже на маршрутизатор «14». Таким образом, можно сделать вывод, что в случае фиксации камерой какого-либо важного момента информа ция до пользователя будет доходить не так быстро, как напрямую, а это влияет на такой аспект информационной безопасности, как дос тупность (возможность за разумное время получить требуемую ин формационную услугу).
В связи с этим изменяем вес ребер. В нашей ситуации изменим пропускную способность от объекта «1» до маршрутизатора «13» в 2,5 раза, будет видно, что максимальный поток будет удовлетворять заданию, а пропускной способности все равно будет не хватать, что бы всю информацию от камер передать на маршрутизатор. Зато будет видно, что часть информации отправится на объект «3», а далее к пользователю.
Рис. 3. Вариант проекта системы
Если увеличить поток в 3 раза, то увидим, что максимальный по ток так же соответствует заданию, а весь поток информации от пер вого объекта идет сразу же к маршрутизатору. На примере потока от объекта «1» до маршрутизатора «13» можно также проанализировать потоки для других объектов. Кроме того, по данному материалу можно проанализировать пропускную способность с учетом отказов, что тоже важно для целостности информации.
Библиографический список
1. Тюрин С.Ф., Ланцов В.М. Дискретная математика & матема тическая логика: учеб, пособие. - Пермь: Изд-во Перм. над. исслед. политехи, ун-та, 2013.-271 с.
2.Стрельцов Д. Надежность систем видеонаблюдения // Алго ритм безопасности. - 2010. - № 1.
3.Алгоритмы: построение и анализ = Introduction to Algorithms
/Т. Кормен, Ч. Лейзерсон, Р. Ривест, К. Штайн; под ред. И.В. Кра сикова. - 2-е изд. - М.: Вильямс, 2005. - 1296 с (глава 26. Макси мальный поток).
4.ГОСТ Р 50922-2006. Национальный стандарт Российской Фе дерации. Защита информации. Основные термины и определения (утв. и введен в действие Приказом Ростехрегулирования от 27.12.2006 N 373-ст) // Доступ из справ.-правовой системы КонсультантПлюс.
5.Тюрин С.Ф. Надежность систем автоматизации: учеб, пособие.
-Пермь: Изд-во Перм. нац. исслед. политехи, ун-та, 2012. - 262 с.
6.Тюрин С.Ф., Ланцов В.М. 3.3. Транспортная сеть и задача на хождения максимального потока // Дискретная математика & матема тическая логика: учеб, пособие. - Пермь: Изд-во Перм. нац. исслед. политехи, ун-та, 2013.-271 с.
РАЗРАБОТКА МОДЕЛИ ОБНАРУЖЕНИЯ КОМПЬЮТЕРНЫХ
АТАК НА ОСНОВЕ ТЕОРИИ РАСПОЗНАВАНИЯ ОБРАЗОВ
Студентка гр. КЗИ-12-16 А.А. Миронова
Научный руководитель - канд. техн. наук, доцент АС. Шабуров Пермский национальный исследовательский политехнический университет
Развитие инфраструктуры современного общества в сфере госу дарственного управления, финансовой, банковской, транспортной от раслей, в сфере промышленного производства, энергетического, ре сурсного, коммунального и иных видов обеспечения в последнее время обострило проблему кибернетической безопасности. При этом, значи тельное количество инцидентов связано с осуществлением компью терных атак на информационные и телекоммуникационные системы, интенсивность которых в последнее время значительно возросла.
За последний год около 67 % компаний по всему миру столкну лись с подобной проблемой, при этом более трети (37 %) не обладают достаточными возможностями и ресурсами для борьбы с такими уг розами. Злоумышленники стали более изощренными, чем когда-либо. Они находятся в постоянном поиске уязвимостей во всей технологи ческой цепочке, включая людей и процессы [1].
Согласно данным индекса критичности утечек данных ВЫ (Breach Level Index) основной целью киберпреступников при осуще ствлении атак в 2014 г. стали персональные данные (ПДн). На долю подобных атак пришлось 54 % всех инцидентов, что больше, чем
в любой другой категории, в том числе больше числа инцидентов
скражей финансовых данных. Кроме того, на долю утечек, преследо вавших цель хищения ПДн, пришлось около трети наиболее значи мых взломов, которые были классифицированы в рамках индекса ВЫ как катастрофические [2].
Большая часть кибератак совершается в отношении финансового сектора и госструктур, отмечают в Group-IB. На 4 % российских бан ков за год были совершены успешные хакерские атаки. Жертвами ста ли сайты Центрального банка России, ВТБ24, Альфа-Банка, Бинбанка.
В отношении госсектора компьютерные атаки чаще всего совершаются
вцелях промышленного шпионажа, а самые масштабные за минувший год были связаны с конкретными событиями, такими как Олимпийские игры в Сочи, референдум в Крыму, с ситуацией в Украине.
2.Кластерный анализ. Методы данной группы основываются на разбиении множества наблюдаемых векторов - свойств системы на кластеры. А затем среди полученных кластеров выбирают те, кото рые описывают нормальное поведение исследуемой системы.
3.Нейронные сети. В течение некоторого периода времени про исходит обучение нейронной сети, когда поведение ИС считается нормальным. После процесса обучения происходит запуск нейронной сети в режим распознавания. Наличие атаки определяется отклонени ем в распознавании нормального поведения во входном потоке.
4.Иммунные сети. Аналогично с нейронной сетью иммунную сеть можно использовать для распознавания образов. В процессе применения данного метода формируются антитела, которые сопос
тавляют свойства атак с характеристиками, заложенными в них,
ираспознают данное событие как атакующее воздействие.
5.Экспертные системы. В экспертных системах информация о нормальном поведении хранится в виде правил, а наблюдаемое пове
дение представляется в виде фактов. На основании этих фактов и правил принимается решение о соответствии наблюдаемого пове дения «нормальному» либо о наличии аномалии.
6. Поведенческая биометрия. В основе данных методов лежит гипотеза о различии «почерка» работы с интерфейсами ввода-вывода для различных пользователей. На базе построенного профиля нор мального поведения для данного пользователя обнаруживаются от клонения от этого профиля, вызванные попытками других лиц рабо тать с клавиатурой или другими физическими устройствами ввода.
Методы анализа сигнатур используются для распознавания из вестных компьютерных атак. Основой данных методов является сравнение поведения информационной системы с описанием извест ной атаки. Если оно совпадает, то поведение объекта считается ата кой. К данной категории методов относятся:
1. Анализ состояний систем. Данный метод предполагает опи сание процесса функционирования исследуемой системы как ориен тированный граф, вершинами которого являются состояния системы, а ребрами - переходы между ними. Некоторые из путей в рассматри ваемом графе помечаются как недопустимые. В этом случае конечное состояние каждого из таких путей представляет собой потенциаль ную угрозу, а обнаружение подобного рода недопустимых путей оз начает успешное обнаружение атаки.
2.Графы сценариев атак. Для построения графа атак необходи мо формализовать понятие атаки, разработать формальный язык представления атак и ИС в целом. После этого необходимо построить
ипроанализировать граф атак и при наличии последовательности наблюдаемых в системе действий сигнализировать об атаке.
3.Нейронные сети. Нейронные сети могут быть использованы для обнаружения атак в ИС на основе метода анализа сигнатур. При этом сначала происходит обучение данной нейронной сети на приме рах существующих атак на защищаемую систему, а затем осуществ ляются сравнение и выявление принадлежности наблюдаемого пове дения к одному из классов изученных атак.
4.Иммунные сети. Анализ сигнатур может быть рассмотрен как один из возможных способов использования иммунных систем, как
ив случае с нейронными сетями.
5.Методы, основанные на спецификациях. Для функционирова ния данного метода необходимо сформировать множество всех воз можных атакующих воздействий в виде спецификаций атак. Совпа дение текущего события со спецификацией расценивается как атака.
6.Сигнатурные методы. Для данного метода необходимы фор мирование некоторого алфавита для описания наблюдаемых событий системы и построение множества правил - сигнатур с использовани ем сформированного алфавита. Совпадение характеристик события ИС с одной из сигнатур свидетельствует о наличие атаки.
Распознавание компьютерных атак в динамике функционирова ния информационной системы может быть представлено на основе системного анализа пространства параметров процессов в системе по установленным правилам и выявления тех параметров, которые ха рактеризуют действие атаки. Системное описание способов и средств защиты информации, направленных на противодействие компьютер ным атакам, рационально осуществить на основе теории распознава ния образов [4], в соответствии с которой объекты компьютерных атак могут быть интерпретированы распознаваемыми образами про странства их признаков (рис. 2).
Всоответствии с данной теорией компьютерная атака является образом, необходимо распознаваемым в ходе процесса сбора, хране ния, обработки и передачи информации в ИС, при попытках наруши теля воздействовать на ИС с целью вывода ее из строя или снижения эффективности ее применения.
Словарь признаков компьютерных атак может содержать коли чественные и качественные признаки, которые декомпозируются на детерминированные признаки атак, распознаваемые сигнатурными методами обнаружения атак, вероятностные признаки атак, распозна ваемые методами анализа аномальных отклонений в ИС, логические признаки атак, распознаваемые методами функционального анализа.
|
Ресурс противодействия |
Ресурс |
компьютерных атак |
Рис. 2. Модель распознавания компьютерных атак
Пространство признаков атак формируется, декомпозируется и систематизируется на основе априорных знаний об опыте эксплуата ции самой ИС, классификации атак, а затем уточняется по апостериор ной информации. При этом ключевыми средствами и источниками информации для распознавания объектов компьютерных атак и диаг ностики потенциальных угроз их воздействия на ИС являются интел лектуальные датчики средств противодействия. Средства противодей ствия компьютерным атакам совместно со средствами мониторинга состояния информационной безопасности осуществляют сбор данных от датчиков для формирования пространства признаков атак и оценку возможного нарушения устойчивости функционирования ИС.
Таким образом, анализ проблемы увеличения компьютерных атак на информационные системы различного назначения требует поиска наиболее эффективных способов применения имеющегося арсенала средств защиты информации, а также поиска новых прие мов и методов обеспечения информационной безопасности. Разра
ботанная модель распознавания компьютерных атак позволяет представить процесс защиты информации на основе теории распо знавания образов с целью дальнейшего формального описания осо бенностей функционирования данной модели.
Библиографический список
1. Абашев А.Н, Пазухин В.А, Слышкин А.С. На шаг впереди ки берпреступников // Information Security/Информационная безопас ность. - 2015. - № 1 .-С . 8-12.
2.Gemalto Releases Findings of 2014 Breach Level Index [Элек тронный ресурс]. - URL: http://www.gemalto.com/press/Pages/Gemalto- Releases-Findings-of-2014-Breach-Level-Index.aspx
3.Мазин A.B., Клочко O.C. Анализ методов противодействия угрозам и атакам на вычислительные системы // Наукоемкие техно логии в приборо- и машиностроении и развитие инновационной дея тельности в вузе: материалы всерос. науч.-техн. конф. - М., 2014. -
Т.З .-С . 71-75.
4.Климов С.М., Сычев М.П., Астрахов А.В. Противодействие компьютерным атакам. Методические основы // Электронное изда ние. - М.: Изд-во МГТУ им. Н.Э. Баумана, 2013. - 108 с.